La geolocalizzazione che non puoi spegnere: come la rete mobile traccia il tuo telefono

C’è un fatto poco conosciuto che cambia radicalmente il modo in cui dovremmo pensare la privacy mobile: il tuo operatore telefonico può interrogare il telefono e ottenere coordinate GPS precise senza passare dal sistema operativo, senza notifiche e senza alcuna autorizzazione dell’utente. Non è un bug, non è un attacco sofisticato, non è un abuso creativo di qualche API. È una funzione prevista dallo stack dei protocolli su rete mobile, presente da oltre 20 anni.

I protocolli in questione si chiamano RRLP (Radio Resource Location services Protocol) per le reti 2G/3G e LPP (LTE Positioning Protocol) per 4G/5G. Insieme formano il cosiddetto control-plane positioning, un meccanismo pensato per le emergenze, ma che nel tempo è diventato uno strumento di localizzazione generalizzata, silenziosa e strutturalmente invisibile.

Un’architettura che bypassa il sistema operativo

Per capire perché tutto questo avviene “under-the-radar”, serve guardare a come è costruito uno smartphone moderno. Ogni telefono contiene due processori distinti:

• Application Processor (AP): esegue iOS o Android, gestisce app, permessi, interfacce utente.
• Baseband Processor (BP): gestisce il modem cellulare, lo stack radio e i protocolli di rete.

Questi due mondi sono separati. Baseband è una scatola nera: firmware proprietario, sistema operativo real-time dedicato, accesso diretto all’hardware radio e – dettaglio cruciale – al chipset GPS. Quando la rete invia una richiesta di localizzazione, il destinatario non è Android o iOS, ma baseband.

Utilizzando il canale di segnalazione usato per chiamate, handover (passaggio automatico della connessione da una cella radio a un’altra durante gli spostamenti, senza interrompere la comunicazione) e gestione di rete, l’operatore di telecomunicazioni può inviare una richiesta, baseband la riceve, attiva il GPS, calcola la posizione e risponde. L’AP non viene coinvolto e, di conseguenza, i permessi di localizzazione sul lato del sistema operativo non entrano mai in gioco.

Il punto critico è l’assenza di un meccanismo di verifica. Il baseband non controlla se la richiesta sia legata a una chiamata di emergenza, a un ordine giudiziario o a qualsiasi altra base legale. Se il messaggio è formalmente corretto, la risposta parte. La “debolezza strutturale” era già stata dimostrata pubblicamente nel 2009, quando alcuni ricercatori riuscirono a estrarre coordinate GPS usando stazioni base rogue (fasulle).

Accuratezza reale della geolocalizzazione

Quando si parla di accuratezza della localizzazione di rete, non esiste un solo metodo. La rete può stimare la posizione di un telefono usando tecniche diverse, spesso combinate tra loro, a seconda del contesto radio e delle capacità del terminale.

Il primo caso, GPS / A-GNSS, è il più intuitivo. Il GPS classico è quello che tutti conoscono: il telefono riceve segnali dai satelliti e calcola la propria posizione. L’A-GNSS (Assisted GNSS) è una variante in cui la rete cellulare fornisce al telefono informazioni di supporto — tempo di riferimento, orbite dei satelliti, posizione approssimativa — per rendere l’elaborazione del posizionamento più veloce e affidabile. In questo scenario il calcolo finale avviene sul dispositivo, ma è attivato e orchestrato dalla rete tramite RRLP o LPP. In condizioni normali in Europa, ciò porta a una precisione dell’ordine di 5–15 metri.

Un secondo metodo è OTDOA, acronimo di Observed Time Difference of Arrival. Qui il telefono non usa il GPS. Misura invece la differenza di tempo con cui riceve i segnali radio da più base station sincronizzate. Confrontando questi ritardi temporali, la rete può triangolare la posizione del terminale. OTDOA funziona particolarmente bene in aree urbane dense, dove sono presenti molte celle vicine, ma perde efficacia in zone rurali o con geometrie radio sfavorevoli. In città europee tipiche, l’accuratezza reale si colloca tra 20 e 50 metri.

Il terzo caso, ECID (Enhanced Cell ID), è il più grossolano. In questa modalità la rete sa principalmente a quale cella è agganciato il dispositivo mobile e utilizza informazioni aggiuntive come potenza del segnale, timing advance e caratteristiche della cella stessa per stimare una posizione approssimativa. Non è una vera triangolazione, ma una stima migliorata rispetto al semplice “l’utente è su questa cella”. Per questo l’accuratezza è molto variabile e spesso compresa tra 100 e 500 metri, a volte di più in aree poco coperte.

Precisione millimetrica con 5G standalone

Con il 5G standalone entrano in gioco tecniche più avanzate, indicate come NR-Positioning (dove NR sta per New Radio). Grazie a una sincronizzazione molto più precisa tra le stazioni base, all’uso di larghezze di banda elevate e, in alcuni casi, di onde millimetriche, la rete può stimare la posizione con un livello di dettaglio che in scenari ideali scende sotto il metro. È importante sottolineare che questi risultati sono ancora limitati a contesti specifici e a implementazioni avanzate, ma dal punto di vista infrastrutturale la capacità esiste già.

Il punto chiave, che spesso sfugge, è che tutte queste tecniche possono essere attivate dalla rete senza coinvolgere il sistema operativo. Cambiano i meccanismi radio, cambia la precisione, ma il modello resta lo stesso: la localizzazione è una funzione nativa dell’infrastruttura cellulare, non una scelta dell’utente.

Chi ha usato (e usa) questa capacità

La localizzazione di rete nasce per questioni di pubblica sicurezza, così da fare in modo che un telefono possa fornire la posizione fisica durante una chiamata di emergenza.

Negli USA, alcuni documenti hanno messo in evidenza come la DEA utilizzasse la caratteristica descritta già dal 2006 per il tracciamento in tempo reale di sospetti, con una localizzazione assistita dall’operatore di telecomunicazioni.

Durante la pandemia, l’agenzia di sicurezza interna e intelligence israeliana Shin Bet ha impiegato la stessa infrastruttura per il tracciamento di massa dei contatti COVID. L’intervento della Corte Suprema israeliana ha poi limitato la pratica, ma il messaggio è palese: la decisione è politica, non tecnica.

Nel 2019 è emerso che grandi operatori statunitensi vendevano accesso a dati di localizzazione in tempo reale a broker commerciali. La Federal Communications Commission (FCC) ha inflitto multe per oltre 200 milioni di dollari, senza però toccare la radice del problema: la possibilità di interrogare silenziosamente qualsiasi telefono resta intatta.

L’Europa e il grande equivoco della “privacy by regulation”

Esiste una convinzione diffusa: il GDPR avrebbe “messo in sicurezza” la privacy digitale. In realtà, il Regolamento europeo ha inciso profondamente sul trattamento dei dati a livello applicativo e organizzativo, ma ha lasciato quasi intatto il livello infrastrutturale delle telecomunicazioni.

Il GDPR si applica quando esiste un trattamento di dati personali riconducibile a un titolare, con finalità determinate e basi giuridiche valutabili. La localizzazione di rete, invece, è spesso inquadrata come dato di traffico, informazione necessaria al funzionamento del servizio, adempimento di obblighi legali o di pubblica sicurezza.

Tale qualificazione sposta l’intero fenomeno fuori dall’area in cui il consenso dell’utente ha un ruolo centrale. Le deroghe previste per sicurezza nazionale, prevenzione dei reati e servizi di emergenza diventano la regola, non l’eccezione.

Non è un caso che, a livello europeo, nessuna Autorità abbia mai imposto ai produttori di modem un obbligo di trasparenza o di interazione con il sistema operativo per le richieste di localizzazione di rete. Intervenire sul control plane è percepito come un rischio sistemico per l’affidabilità delle reti, soprattutto in scenari di roaming e interoperabilità transfrontaliera.

Perché non è possibile disattivare la geolocalizzazione lato rete mobile

Tutti i controlli che ben conosciamo e che sono disponibili lato sistema operativo agiscono a un livello sbagliato.

Disattivare i servizi di localizzazione blocca solo le API del sistema installato; VPN e firewall operano su IP, non sulla segnalazione di rete; le app non hanno alcuna visibilità sul control plane.

Il nodo è architetturale. Il baseband è un elemento a sé, con firmware proprietario fornito da produttori come Qualcomm e MediaTek. Ha accesso diretto al GPS e risponde alla rete indipendentemente da ciò che l’utente ha deciso a livello applicativo.

Con l’introduzione del modem C1, Apple ha progettato un controllo che prima non era disponibile. Sui dispositivi come iPhone 16e, iOS può essere informato quando arriva una richiesta di localizzazione sul control plane, chiedere il consenso all’utente o ridurre la precisione della risposta.

È un passo rilevante, ma circoscritto. Funziona solo sui modelli con modem Apple, non può bloccare del tutto le richieste legate alle emergenze e non esiste nulla di analogo sul versante Android.

Perché esistono app come 112 Where ARE U se la rete “sa già” dove sei

L’esistenza di applicazioni dedicate alla trasmissione della posizione ai servizi di emergenza, pensiamo ad esempio a 112 Where ARE U, non è una contraddizione, ma il sintomo di un limite strutturale della localizzazione di rete.

In teoria, il sistema impone agli operatori di fornire automaticamente la posizione del chiamante durante una chiamata di emergenza. In pratica, però, questa localizzazione è spesso approssimativa, non sempre aggiornata in tempo reale e fortemente dipendente dalla qualità della copertura radio e dall’integrazione tecnica delle centrali operative.

Le app nascono per colmare questo divario: utilizzano direttamente il GPS del dispositivo, inviano coordinate precise e continuamente aggiornabili e le integrano in modo più efficace con i sistemi cartografici delle centrali 112. Non servono perché la rete non sia in grado di localizzare un telefono, ma perché quando si tratta di soccorso reale — soprattutto in contesti extraurbani, montani o marittimi — la precisione e l’affidabilità operativa offerte dalla localizzazione di rete potrebbero non essere sufficienti.