Cos'è un indirizzo MAC e perché ti traccia?

Un indirizzo MAC (Media Access Control) è un identificatore univoco a 48 bit assegnato a ogni interfaccia Wi-Fi o Ethernet dal suo produttore. Formato tipico: `D4:3B:04:9F:1A:2E`. I primi 24 bit identificano il produttore (OUI, Organizationally Unique Identifier — Apple, Samsung, Intel) tramite l'assegnazione IEEE documentata nell'[RFC 7042](https://datatracker.ietf.org/doc/html/rfc7042). Gli ultimi 24 bit identificano la singola scheda. Questo indirizzo viene trasmesso in chiaro a ogni associazione Wi-Fi, e perfino in background tramite le probe request — il tuo telefono emette regolarmente «C'è Home-WiFi nelle vicinanze?» per riconnettersi automaticamente alle reti memorizzate. Qualsiasi infrastruttura Wi-Fi nel raggio d'azione cattura queste richieste e può registrare la tua presenza, durata e frequenza di visita. È diventato un enorme canale di tracciamento offline: centri commerciali, aeroporti, trasporti pubblici e molte grandi catene di vendita al dettaglio calcolano l'affluenza e i profili di visita ricorrente in base agli indirizzi MAC osservati al passaggio nel raggio dei loro access point.

La randomizzazione MAC di iOS/Android è davvero sufficiente?

In parte, e con limiti importanti. iOS 14+ (2020) e Android 10+ (2019) abilitano per impostazione predefinita un indirizzo MAC randomizzato per SSID: il tuo iPhone presenta un MAC diverso sul Wi-Fi di casa, su quello dell'ufficio e su quello del bar — impedendo a un singolo operatore di correlare le tue visite tra più luoghi. Windows 10/11 offre la stessa funzione («Indirizzi hardware casuali»). È un miglioramento notevole rispetto alla situazione precedente al 2019, quando il tuo telefono trasmetteva ovunque il suo MAC reale. Ma restano tre limiti. Primo, sullo stesso SSID il MAC randomizzato resta costante per impostazione predefinita — quindi la tua seconda visita allo stesso bar può ancora essere correlata con la prima. Apple ha introdotto una rotazione periodica (24h) su iOS 16+ per attenuare questo. Secondo, alcune piattaforme di analytics Wi-Fi sfruttano ancora le probe request non randomizzate sulle versioni più vecchie del sistema operativo. Terzo, la randomizzazione non impedisce ad altri segnali di fingerprinting (Wi-Fi Information Elements, timing delle probe, comportamento specifico del modello) di identificare il dispositivo oltre il MAC.

Come si cambia manualmente l'indirizzo MAC per sistema operativo?

Windows 10/11: Impostazioni → Rete → Wi-Fi → proprietà della rete → Indirizzi hardware casuali → Attivato (randomizzazione nativa) o strumenti di terze parti come Technitium MAC Address Changer per uno spoofing manuale preciso. macOS: terminale `sudo ifconfig en0 ether xx:xx:xx:xx:xx:xx` (temporaneo fino al riavvio). Linux: `sudo ip link set dev wlan0 down && sudo macchanger -r wlan0 && sudo ip link set dev wlan0 up` per un MAC casuale (pacchetto `macchanger`). Android: richiede il root e `adb shell ip link set wlan0 address xx:xx:xx:xx:xx:xx` — senza root, è disponibile solo la randomizzazione nativa per SSID. iOS: nessuno spoofing manuale senza jailbreak; la funzione «Indirizzo Wi-Fi privato» (Impostazioni → Wi-Fi → info rete) dovrebbe bastare. Importante: per il primo byte, mantieni la seconda cifra esadecimale a zero per restare nell'intervallo «locally administered» ed evitare collisioni con i MAC assegnati dal produttore.

Lo spoofing del MAC protegge davvero la mia privacy?

Marginalmente, e solo contro una specifica classe di tracciamento. Fare lo spoofing del MAC impedisce a un operatore Wi-Fi di riconoscerti tra una visita e l'altra — utile contro gli analytics offline nei negozi, contro la profilazione delle catene alberghiere (che correlano i tuoi soggiorni tra più strutture), contro le città che calcolano l'affluenza pedonale tramite la loro infrastruttura Wi-Fi. È una solida mitigazione per questi vettori. Ma lo spoofing del MAC NON protegge contro: (1) il tracciamento a livello applicativo (cookie, ID Google, identificatore pubblicitario iOS/Android), (2) il fingerprinting del browser, (3) la correlazione IP lato server, (4) l'identificazione tramite operatore mobile via IMEI o IMSI sulle reti cellulari, (5) i captive portal che chiedono email o numero di telefono, (6) il fingerprinting del comportamento del dispositivo (app installate, timing di connessione, modello del dispositivo). Per una privacy seria, lo spoofing del MAC è uno strato utile ma marginale — la priorità resta un VPN con kill switch e l'igiene applicativa (browser irrobustito, niente account Google su dispositivi di lavoro sensibili).

Cambiare l'indirizzo MAC è legale nel Regno Unito e negli USA?

Sì, sul tuo hardware. Cambiare il MAC delle tue schede Wi-Fi o Ethernet è un'operazione tecnica standard documentata dagli stessi produttori dei sistemi operativi (Microsoft, Apple e Google supportano tutti la randomizzazione nativa). Nessuna disposizione del diritto britannico o statunitense criminalizza lo spoofing del MAC in quanto tale. Un'avvertenza importante: configurare il tuo MAC per impersonare un terzo identificato (collega, vicino, vittima mirata) allo scopo di aggirare un controllo di accesso Wi-Fi o spacciarti per quella persona ricade sotto il Computer Misuse Act 1990 (UK) o il Computer Fraud and Abuse Act (USA), entrambi con sanzioni penali. La linea di confine non è lo spoofing in sé ma l'intento — impersonare l'identità di qualcun altro. Nell'uso privato normale — proteggere la propria privacy dal tracciamento commerciale, testare hardware di rete, aggirare un limite di durata su un hotspot a pagamento — l'operazione è legalmente irrilevante. In un contesto aziendale, verifica la policy IT: alcune la vietano internamente (sanzione disciplinare, non penale).

MAC spoofing su Wi-Fi pubblico: cosa cambia davvero per la tua privacy

L'indirizzo MAC è probabilmente il pezzo meno compreso del puzzle del tracciamento offline. La maggior parte degli utenti sa che un sito può impostare un cookie, che una rete pubblicitaria può seguirli tra i siti, ma pochi si rendono conto che il loro telefono trasmette costantemente un identificatore univoco a ogni infrastruttura Wi-Fi nel raggio d'azione — anche quando il Wi-Fi non è connesso ad alcuna rete. Centri commerciali, aeroporti, catene alberghiere, operatori dei trasporti pubblici e alcune città hanno distribuito questo tracciamento offline su larga scala tra il 2015 e il 2022. La situazione è migliorata dall'arrivo della randomizzazione MAC nativa su iOS e Android, ma l'argomento resta poco compreso e le protezioni sono parziali.

Questa guida spiega con precisione cos'è un indirizzo MAC, come viene usato per tracciarti, cosa chiude e cosa non chiude la randomizzazione nativa, come fare lo spoofing manuale per sistema operativo se vuoi spingerti oltre, e i limiti strutturali (altri fingerprint) per cui lo spoofing del MAC da solo non equivale all'anonimato sul Wi-Fi pubblico.

TL;DR

Un indirizzo MAC è l'identificatore univoco a 48 bit della tua scheda Wi-Fi, trasmesso in chiaro a ogni associazione di rete e perfino in background tramite le probe request automatiche («C'è il mio solito Wi-Fi nelle vicinanze?»). È diventato un enorme canale di tracciamento offline: negozi, snodi di trasporto e catene alberghiere correlano i tuoi spostamenti attraverso questi segnali. iOS 14+ e Android 10+ abilitano per impostazione predefinita un MAC randomizzato per SSID, impedendo la correlazione delle visite tra più luoghi — un vero vantaggio. Ma sullo stesso SSID il MAC resta costante (la rotazione di 24h di Apple su iOS 16+ attenua questo). Lo spoofing manuale si fa tramite ifconfig/ip link/macchanger su macOS/Linux, tramite impostazioni o strumenti di terze parti su Windows, ed è limitato alla randomizzazione nativa su Android/iOS senza root/jailbreak. Legale nel Regno Unito e negli USA sul tuo hardware, penalmente rilevante se impersoni il MAC di un terzo (Computer Misuse Act 1990). Ma lo spoofing del MAC copre solo una classe di tracciamento — non neutralizza né il fingerprinting applicativo, né i cookie, né l'IP lato server. Combinato con un VPN con kill switch e un browser irrobustito, è uno strato utile ma marginale. Vedi rischi del Wi-Fi pubblico nel 2026 per lo stack completo.

Cos'è un indirizzo MAC e perché può essere tracciato

Ogni interfaccia di rete — il chip Wi-Fi del tuo telefono, la scheda Ethernet del tuo PC, il chip Bluetooth, perfino alcuni dongle Wi-Fi USB esterni — è identificata da un indirizzo MAC univoco. Formato standard: 48 bit, espressi in esadecimale separati da due punti, per esempio D4:3B:04:9F:1A:2E. Questo indirizzo è assegnato in fabbrica dal produttore del chipset Wi-Fi (Broadcom, Qualcomm, Intel, MediaTek) ed è pensato per essere globalmente univoco, così che ogni dispositivo possa essere identificato in modo inequivocabile su qualsiasi rete.

Struttura dell'indirizzo — perché rivela il produttore. I primi 24 bit (primi 3 byte) formano l'OUI (Organizationally Unique Identifier), assegnato dall'IEEE a ciascun produttore. Apple ha diversi OUI (D4:9A:20, A4:5E:60, ecc.), Samsung ne ha un centinaio, Intel altrettanti. Gli ultimi 24 bit identificano la singola interfaccia all'interno dell'assegnazione del produttore. Conseguenza: osservare un MAC 04:DB:56:xx:xx:xx rivela un dispositivo Apple; 48:5D:36:xx:xx:xx rivela un Samsung. I database OUI sono pubblici — l'IEEE pubblica la lista ufficiale, e siti come Wireshark OUI lookup la consultano online. Questa mappatura permette agli operatori Wi-Fi di profilare la popolazione nel raggio d'azione: «60% iPhone, 30% Samsung, 10% altro».

Trasmesso in chiaro, in continuazione. L'indirizzo MAC è trasmesso in ogni frame Wi-Fi inviato. Più sottilmente: quando il tuo telefono non è connesso ad alcuna rete ma il Wi-Fi è acceso, emette regolarmente probe request — pacchetti broadcast che chiedono «C'è HomeWifi? C'è OfficeWifi?». Queste richieste contengono il tuo MAC reale (a meno che non sia randomizzato) e gli SSID che hai salvato. Un'infrastruttura Wi-Fi nel raggio d'azione — access point aeroportuale, antenna di centro commerciale, sensore urbano — può quindi identificarti senza che tu ti connetta a nulla, semplicemente perché sei nel raggio radio. Questo è documentato nell'RFC 7042, che formalizza l'assegnazione MAC e le considerazioni sulla privacy.

Stabile nel tempo. Senza randomizzazione, il tuo MAC non cambia mai. È lo stesso identificatore per cinque anni, su decine di reti diverse, su migliaia di interazioni. Un attore con accesso ai log di più infrastrutture Wi-Fi (una catena di vendita, un operatore di sensori urbani, un fornitore di access point aeroportuali) può ricostruire la cronologia dei tuoi spostamenti con precisione impressionante. È esattamente ciò che iOS 14+ e Android 10+ chiudono con la randomizzazione per SSID.

Come il Wi-Fi pubblico e i rivenditori usano il tuo MAC per tracciarti

Il tracciamento MAC è un'industria a sé, distribuita su vasta scala tra il 2014 e il 2020, poi parzialmente disturbata dalla randomizzazione del sistema operativo. Ecco una panoramica degli usi documentati.

Analytics Wi-Fi in negozio (offline analytics). Diverse aziende (Euclid Analytics, RetailNext, Cisco Meraki con il suo modulo CMX, Cloud4Wi) offrono ai rivenditori una soluzione che misura affluenza, tempo di permanenza e visite ripetute tramite i MAC degli smartphone nel raggio d'azione. Il principio: gli access point Wi-Fi catturano le probe request in background, registrano i MAC osservati e calcolano la durata della presenza e la frequenza di ritorno. Il cliente non ha bisogno di connettersi al Wi-Fi del negozio — basta avere il Wi-Fi attivo su un telefono nelle vicinanze. I dati sono venduti in forma aggregata ai rivenditori: «quanti visitatori oggi, X% nuovi, tempo medio di permanenza Y minuti». Sui MAC non randomizzati (prima del 2020), la precisione era quasi individuale.

Ottimizzazione dei flussi negli aeroporti e nelle stazioni. Gli aeroporti britannici (Heathrow, Gatwick) e gli operatori ferroviari usano dal 2015 circa soluzioni di conteggio Wi-Fi per misurare i tempi di coda ai controlli, i flussi nei terminal e i colli di bottiglia. L'obiettivo è legittimo (migliorare l'esperienza dei passeggeri); il metodo è intrusivo se non anonimizzato. L'ICO ha emesso linee guida in merito, richiedendo l'aggregazione e la non conservazione dei MAC individuali — la conformità è stata disomogenea.

Catene alberghiere e profilazione longitudinale. Le soluzioni Wi-Fi gestite (Cisco Meraki, Aruba, Ruckus) includono per impostazione predefinita un modulo che registra i MAC degli ospiti connessi in tutte le strutture di una catena. Conseguenza: un ospite che soggiorna in due diverse strutture Marriott in sei mesi viene incrociato tramite il suo MAC, e viene ricostruito un profilo di soggiorno (durate, tipi di camera, servizi usati). I dati sono venduti a fornitori di marketing terzi o usati internamente per la personalizzazione. Sul MAC randomizzato per SSID (iOS 14+/Android 10+), la correlazione è interrotta — presenti un MAC diverso su ogni SSID (potenzialmente diverso per ogni struttura).

Sensori urbani. Diverse città (Londra già nel 2013 con i cestini Wi-Fi di Renew Plc — scandalo mediatico, programma chiuso; oltre a varie città asiatiche ed europee da allora) hanno distribuito sensori Wi-Fi nell'arredo urbano per misurare i flussi pedonali. L'industria difende l'uso per la pianificazione urbana (misurare dove cammina la gente); i sostenitori della privacy lo contestano per ragioni di proporzionalità. Nel Regno Unito, l'ICO ha confermato che tali dispositivi sono soggetti al GDPR britannico e che l'aggregazione immediata dei MAC è obbligatoria.

Captive portal con raccolta di email. Oltre al tracciamento passivo, molte reti Wi-Fi pubbliche chiedono un indirizzo email o un numero di telefono in cambio dell'accesso — dati che vengono poi incrociati con il tuo MAC al momento della connessione, permettendo all'operatore di trasformare un identificatore tecnico anonimo (MAC) in un identificatore personale legato a un'email. La maggior parte delle catene di fast food, molti hotel e alcuni aeroporti usano questo modello.

Randomizzazione MAC nativa — iOS 14+, Android 10+, Windows 10+

La pressione dei sostenitori della privacy e l'arrivo della regolamentazione (GDPR nel 2018 in Europa, applicazione crescente dell'ICO nel Regno Unito) hanno spinto i produttori di sistemi operativi a integrare una mitigazione nativa. Stato della distribuzione nel 2026.

iOS 14+ (settembre 2020). Apple ha introdotto la funzione «Indirizzo Wi-Fi privato» per impostazione predefinita su iOS 14, estesa a iPadOS e watchOS. Il principio: per ogni SSID a cui il dispositivo si connette, iOS genera un MAC distinto, persistente per quell'SSID. Conseguenza: a casa presenti 02:AB:CD:11:22:33; al bar, 02:EF:01:55:66:77; in aeroporto, un altro ancora. Un operatore che ha accesso a una sola infrastruttura non può più incrociare le tue visite tra le sue diverse sedi. iOS 16 (2022) ha aggiunto la rotazione automatica di 24h su alcune reti, che interrompe anche la correlazione tra visite allo stesso SSID. Impostazioni: Wi-Fi → info rete (i) → Indirizzo Wi-Fi privato → Attivato.

Android 10+ (settembre 2019). Google ha introdotto la randomizzazione MAC per SSID per impostazione predefinita su Android 10, con un MAC distinto per SSID. L'implementazione varia per produttore — Samsung, Pixel, Xiaomi e OnePlus generalmente rispettano la specifica; alcuni produttori entry-level avevano bug iniziali. Impostazioni: Wi-Fi → rete attuale → Dettagli → MAC randomizzato / MAC del telefono (a seconda della ROM). Android 12+ offre un'opzione esplicita di rotazione periodica.

Windows 10 build 1703+ e Windows 11. Microsoft ha aggiunto la randomizzazione MAC opzionale dal 2017. Attivazione: Impostazioni → Rete e Internet → Wi-Fi → Indirizzi hardware casuali → Attivato. Disabilitata per impostazione predefinita su Windows 10, va attivata manualmente. Su Windows 11, l'opzione è più spesso attivata per impostazione predefinita a seconda della build. Importante: la randomizzazione può essere configurata per SSID (Attivato per questa rete / Disattivato / Cambia ogni giorno).

Limiti noti della randomizzazione nativa. Primo, il MAC resta costante per SSID a meno che non sia impostata una rotazione esplicita — quindi la tua seconda visita allo stesso bar può ancora essere correlata con la prima (a meno che le 24h di Apple o «cambia ogni giorno» di Windows non siano attivi). Secondo, le probe request possono trapelare su alcune versioni di sistema operativo più vecchie o difettose — i ricercatori hanno mostrato nel 2020-2022 che certi modelli continuavano a emettere il MAC reale in background in casi limite specifici. Terzo, altri fingerprint (Wi-Fi Information Elements, timing delle probe, modello del produttore visibile tramite OUI) possono identificare il dispositivo oltre il MAC. Per spingere la protezione oltre, spegnere il Wi-Fi quando non in uso resta la misura più semplice — nessuna probe emessa, nessun tracciamento possibile.

Spoofing manuale — come cambiare il MAC per sistema operativo

Se la randomizzazione nativa non basta (versione vecchia del sistema operativo, esigenza specifica, OPSEC deliberato), ecco i comandi per sistema operativo. Nota: su un dispositivo recente e aggiornato, la randomizzazione nativa è generalmente più pratica e sufficiente.

macOS — temporaneo fino al riavvio.

sudo ifconfig en0 ether 02:11:22:33:44:55

en0 è tipicamente l'interfaccia Wi-Fi (verifica con networksetup -listallhardwareports). Importante: disconnetti il Wi-Fi prima di cambiare (Wi-Fi → Disattiva), esegui il comando, poi riconnettiti. Il prefisso 02: indica un indirizzo «locally administered» (bit U/L impostato a 1) — convenzione raccomandata dall'RFC 7042 per evitare collisioni con i MAC assegnati dal produttore.

Linux — con macchanger (pacchetto standard).

sudo ip link set dev wlan0 down
sudo macchanger -r wlan0    # -r per casuale; -m XX:XX:XX:XX:XX:XX per un valore specifico
sudo ip link set dev wlan0 up

Su Ubuntu/Debian: sudo apt install macchanger. Per rendere la modifica persistente, crea uno script systemd che venga eseguito all'avvio. Su NetworkManager (desktop Ubuntu moderno), la randomizzazione per connessione è configurabile graficamente.

Windows 10/11 — tramite impostazioni o strumenti di terze parti. Per la randomizzazione nativa: Impostazioni → Rete → Wi-Fi → proprietà → Indirizzi hardware casuali → Attivato. Per lo spoofing preciso (indirizzo scelto), usa uno strumento di terze parti come Technitium MAC Address Changer (gratuito, open source) o la modifica del registro. Nota: alcuni driver Wi-Fi di Windows rifiutano i MAC il cui primo byte è dispari (bit multicast impostato a 1) — preferisci un primo byte pari (02, 06, 0A, 0E, …).

Android — randomizzazione nativa o root. Senza root, sei limitato alla randomizzazione nativa per SSID descritta sopra. Con root e ADB: adb shell ip link set wlan0 address 02:11:22:33:44:55 (comandi specifici del produttore, possono differire). Diverse app del Play Store affermano di cambiare il MAC senza root — la maggioranza modifica solo il valore visualizzato, non il MAC effettivamente trasmesso.

iOS — nessuno spoofing manuale senza jailbreak. La funzione «Indirizzo Wi-Fi privato» è l'unica opzione supportata. Apple l'ha deliberatamente limitata per ragioni di sicurezza e semplicità.

Verifica. Una volta cambiato il MAC, conferma che venga effettivamente trasmesso facendo lo sniffing del tuo stesso traffico da un altro dispositivo (Wireshark in modalità monitor). Oppure controlla l'interfaccia di amministrazione del router (tabella DHCP) — il MAC visualizzato dovrebbe corrispondere a quello che hai impostato.

Scelta editoriale

4.6 / 5

Completa lo spoofing del MAC con un VPN — strato IP cifrato

Audit no-log Deloitte 2024 · Kill switch di sistema · garanzia soddisfatti o rimborsati 30 giorni

Audit Deloitte 2024Garanzia di 30 giorni14M+ utenti

Vedi l'offerta

Limiti dello spoofing: altri fingerprint che persistono

Questo è il punto più importante da capire. Fare lo spoofing del MAC chiude una porta, ma non tutte — un attore determinato può identificarti attraverso altri segnali. Tre strati residui vale la pena conoscerli.

Wi-Fi Information Elements (IE) — fingerprint del modello. Le probe request Wi-Fi contengono, oltre all'SSID richiesto e al MAC, Information Elements che descrivono le capacità del dispositivo: versione 802.11 supportata, velocità, funzionalità, opzioni QoS. La combinazione di questi IE forma un fingerprint caratteristico del modello di smartphone — un Pixel 7 ha un profilo IE distinto da un iPhone 14, un Samsung S22 o un OnePlus 10. I ricercatori (Vanhoef et al., PoPETs 2016) hanno mostrato che un fingerprint IE da solo identifica il modello nella maggior parte dei casi. Fare lo spoofing del MAC non cambia gli IE. La contromisura sarebbe modificare lo stack Wi-Fi del dispositivo — essenzialmente impossibile senza modificare il kernel.

IMSI catcher e identificatori cellulari. Sulle reti mobili (4G/5G), l'equivalente del MAC è l'IMSI (International Mobile Subscriber Identity) — legato alla tua scheda SIM. Un IMSI catcher malevolo (Stingray, dispositivi usati dalle forze dell'ordine in più paesi) cattura l'IMSI quando il tuo telefono si registra su una cella. Il 5G ha aggiunto la cifratura dell'IMSI al momento della registrazione, ma molte celle restano in 4G o sono soggette ad attacchi di downgrade. Lo spoofing del MAC ha effetto zero su questo vettore — è un identificatore ortogonale.

Comportamento applicativo e timing. Oltre agli identificatori tecnici, il comportamento del tuo dispositivo lo rende identificabile. Le app installate effettuano connessioni caratteristiche (servizi Apple iCloud su iOS, servizi Google Play su Android), il timing di connessione segue la tua routine quotidiana (mattina/pranzo/sera), e i volumi di traffico segnalano i tuoi schemi d'uso. Un attore con più segnali (MAC + IP visitati + orari + IE) può re-identificarti anche attraverso MAC randomizzati per sessione. Contromisura: compartimentare (dispositivo dedicato per attività sensibili).

Captive portal e identificatori applicativi. Se ti connetti al Wi-Fi del bar e ricevi un'email o un SMS di autenticazione, la tua email o il tuo numero di telefono è collegato al tuo MAC nel database del fornitore, indipendentemente dal fatto che fosse stato falsificato. Per spezzare questo collegamento, o non autenticarti (rifiuta il Wi-Fi che richiede l'email) o usa un'email alias usa e getta.

Cookie e identificatori del browser. Lo spoofing del MAC non influisce affatto sul tracciamento a livello applicativo — un cookie di terze parti DoubleClick ti segue indipendentemente dal tuo MAC. La contromisura è un browser irrobustito, il blocco dei tracker e la rimozione degli ID pubblicitari iOS/Android — non lo spoofing a livello di rete.

Considerazioni legali nel Regno Unito e negli USA

Lo spoofing del MAC è legalmente irrilevante nel Regno Unito e negli USA per uso personale. Alcune precisazioni importanti.

Sul tuo hardware — pienamente legale. Cambiare il MAC della tua scheda Wi-Fi o Ethernet è un'operazione tecnica standard, documentata dai produttori dei sistemi operativi (Microsoft, Apple, Google forniscono tutti la funzionalità nativa). Nessuna disposizione del diritto britannico o statunitense criminalizza specificamente lo spoofing del MAC. Ha lo stesso status legale del cambiare lo User-Agent del browser o usare un proxy — uno strumento tecnico senza particolare qualificazione legale.

Per impersonare il MAC di un terzo specifico — penalmente rilevante. Configurare il tuo MAC per farlo corrispondere a quello di una persona identificata (collega, vicino, vittima mirata) allo scopo di aggirare un controllo di accesso Wi-Fi (un'azienda che filtra per MAC), di impersonare quella persona o di occultare la tua identità in un'attività illecita ricade sotto il Computer Misuse Act 1990 nel Regno Unito (fino a 10 anni per capi d'accusa aggravati) e il Computer Fraud and Abuse Act negli USA. In Australia esistono disposizioni simili nel Criminal Code Act. La linea di confine non è lo spoofing in sé ma l'intento — impersonare qualcun altro.

In un contesto aziendale — verifica la policy. Molte policy IT interne vietano o scoraggiano lo spoofing sull'hardware aziendale, sia per ragioni di tracciabilità IT sia per non disturbare le soluzioni NAC (Network Access Control). La sanzione è disciplinare, non penale — un richiamo, una nota formale o il licenziamento a seconda della gravità. Sul tuo dispositivo personale usato in regime BYOD, il margine è maggiore, ma la policy può comunque imporre regole.

Per aggirare un controllo di accesso — zona grigia. Caso classico: un Wi-Fi pubblico offre 1 ora gratis per MAC; cambi il tuo MAC per ottenere una seconda ora gratis. A rigore questo elude una misura tecnica di accesso, ma in pratica non è perseguibile per un uso personale occasionale e di scarso rilievo. L'operatore può tecnicamente bannarti e l'esercizio può rifiutarti il servizio. Legalmente trascurabile in pratica, ma da evitare per forma.

Caso particolare — wardriving e sniffing di terzi. Catturare i MAC di altri utenti nel raggio d'azione per analisi (ricerca, giornalismo, audit) è tecnicamente lecito se limitato all'osservazione passiva di segnali radio in chiaro, ma si applica il GDPR britannico: i MAC sono considerati dati personali (sentenza Breyer della CGUE 2016, confermata dall'ICO), quindi una raccolta su larga scala richiede una base giuridica e una finalità documentata. Per uso educativo privato sul tuo hardware, nessun problema.

Sintesi: il valore reale dello spoofing MAC nel 2026

Lo spoofing del MAC resta uno strato di protezione utile ma marginale nel 2026. Tre osservazioni riassumono la situazione pratica.

La randomizzazione nativa iOS/Android copre il 95% dei casi d'uso. Su un dispositivo aggiornato (iPhone iOS 14+, Android 10+), il MAC randomizzato per SSID neutralizza già il tracciamento tra più luoghi da parte delle catene di vendita e degli operatori Wi-Fi. È la misura a maggior impatto a sforzo zero. Verifica che la funzione sia attivata per impostazione predefinita sulle tue reti Wi-Fi abituali — di solito lo è, ma vale la pena confermarlo.

Lo spoofing manuale serve casi specifici. Test di penetrazione sulla tua rete, ricerca sulla sicurezza, OPSEC avanzato per profili ad alto rischio, aggirare un controllo di accesso ragionevole sul tuo hardware. Per l'uso mainstream tipico, il beneficio rispetto alla randomizzazione nativa è marginale.

La priorità resta il VPN e l'igiene applicativa. Sul Wi-Fi pubblico, lo spoofing del MAC non chiude nessuna delle fughe principali (SNI, DNS, IP di destinazione, fingerprint del browser). Un VPN con kill switch resta la misura strutturale — cifra tutto il traffico in uscita, indipendentemente dall'identificatore MAC osservato localmente. Un browser irrobustito (Brave, Firefox resistFingerprinting, uBlock) chiude lo strato applicativo. Senza questi due componenti, fare lo spoofing del MAC è come chiudere a chiave la porta d'ingresso mentre la finestra è aperta.

Andare oltre

Lo spoofing del MAC è il pezzo più visibile del tracciamento offline, ma lungi dall'essere l'unico. Per controllare davvero ciò che l'infrastruttura Wi-Fi vede di te, devi combinare: randomizzazione MAC nativa attivata, Wi-Fi spento quando non in uso, VPN con kill switch su tutti gli hotspot pubblici e un browser irrobustito per la navigazione web. Altri segnali (IE Wi-Fi, comportamento applicativo, identificatori cellulari) restano fuori dal controllo dell'utente comune — il loro impatto è residuo per la maggior parte delle persone, strutturale per i profili ad alto rischio. Per verificare che la tua configurazione VPN funzioni davvero e che nessuna fuga contraddica la protezione attesa, segui il nostro audit VPN completo in 9 test su base trimestrale.

Privacy e sicurezza di rete — guide correlate

Articolo pubblicato il 29 maggio 2026. Metodologia: sintesi della specifica IEEE 802 (assegnazione MAC, formato EUI-48), RFC IETF (RFC 7042 su assegnazione e considerazioni sulla privacy), pubblicazioni accademiche sul fingerprinting Wi-Fi (Vanhoef et al. PoPETs 2016, vari paper USENIX e NDSS sulla randomizzazione), linee guida ICO sul tracciamento Wi-Fi (2018, 2021) e documentazione ufficiale di Apple (Indirizzo Wi-Fi privato), Google (Android Compatibility Definition) e Microsoft (randomizzazione Wi-Fi Windows 10).