Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

IT-alert: il sistema di allarme pubblico fra polemiche e…rischio di phishing!

Stefano Gazzella : 29 Giugno 2023 15:53

Cosa è IT-alert? Facile: un sistema di allarme pubblico attualmente in fase di sperimentazione basato su una tecnologia di cell-broadcast. In pratica, impiegando gruppi di celle telefoniche è possibile allertare tutti gli smartphone accesi e connessi presenti all’interno di una determinata area e questo può rivelarsi particolarmente utile per inoltrare un’allerta tempestiva. L’idea alla base, peraltro già impiegata in altri paesi europei e negli Stati Uniti, è infatti quella di comunicare in modo unidirezionale alcune informazioni “anche in casi di campo limitato o in casi di saturazione della banda telefonica” all’interno di una zona interessata da un’emergenza.

Le emergenze sono quelle indicate dalla Direttiva 7 febbraio 2023 della Presidenza del Consiglio dei Ministri – Dipartimento della Protezione Civile:

  • maremoto generato da un sisma;
  • collasso di una grande diga;
  • attività vulcanica, relativamente ai vulcani Vesuvio, Campi Flegrei, Vulcano e Stromboli;
  • incidenti nucleari o situazione di emergenza radiologica;
  • incidenti rilevanti in stabilimenti soggetti al decreto legislativo 26 giugno 2015, n. 105 (Direttiva Seveso);
  • precipitazioni intense.
  • Solo a sperimentazione ultimata, si deciderà per quali di questi eventi elencati il sistema diventerà operativo.

Impossibile non notare però la poca attenzione alla privacy. Per l’ennesima volta in un progetto pubblico, con pretese d’impiego su larga scala. In un tweet di @prevenzione è stata infatti segnalata tanto la mancanza di informativa quanto l’impiego di un modulo di Microsoft Forms per la ricezione dei feedback. Per alcuni potrebbero sembrare dettagli, ma insomma: se privacy by design deve essere, che sia.
O altrimenti si abbia il coraggio di confermare esplicitamente che nell’approccio pubblico alla compliance GDPR c’è il metodo Onofrio del Grillo, e quindi vige il principio per cui io so’ io…, con buona pace dei diritti degli interessati nonché di tutti coloro che invece si adeguano al rispetto della norma.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


E questo possiamo dire che ha fornito un assist alle inevitabili polemiche che si sono generate.

Le reazioni

Le reazioni sono state, come è di consueto nelle “novità” tecnologiche provenienti dall’attore pubblico, polarizzate ivi incluse teorie piuttosto singolari su possibilità di intromissioni da parte dello Stato nei propri smartphone che…già è ampiamente possibile e realizzabile. Confondendosi circa la natura di comunicazione unidirezionale del broadcast, per cui i dispositivi funzionano in mera ricezione.

Ma come al solito è emersa in reazione a dubbi (anche sciocchi, beninteso) o teorie del complotto, il fronte estremista dei techspainers, ovverosia coloro che proclamando l’intenzione del “te lo spiego io” hanno approfittato per scagliarsi contro chiunque osasse sollevare dubbi o opposizioni. Come sempre accomuna una totale assenza di empatia, o incapacità in tal senso, poiché quel che davvero rileva non è fornire informazione su una determinata tecnologia ma giovarsi dell’occasione per salire su un palchetto di pretesa superiorità morale e proclamare “tacete ignoranti!” un po’ verso chiunque.
Una storia già vista e ricorrente, che certamente non giova all’educazione digitale del Paese, nonostante gli stessi se ne autoproclamino cultori o alfieri.

Le reazioni sono però indicative di una sfiducia nei confronti delle istituzioni. Sfiducia che si conferma e assume una magnitudo decisamente più elevata nel momento in cui queste propongono soluzioni tecnologiche, in ragione di una diffusa ignoranza circa il funzionamento delle stesse e la carenza di quella cultura digitale che è ben rimasta nelle intenzioni. E che comprende anche l’utilizzo consapevole delle tecnologie. In assenza di conoscenza, il sentimento più prevedibile (e strumentalizzabile) è la paura.

Come superare questa diffidenza? Non esiste una ricetta miracolosa. Certo, un impegno maggiore sulla trasparenza non può che comportare giovamenti significativi.

Rischi concreti: l’allerta phishing

Il rischio concreto, e su cui forse non è ancora stata fatta adeguata informazione, riguarda la possibilità che un cybercriminale sfrutti questo tipo di novità a proprio vantaggio per attuare delle campagne fraudolente. E no, non c’è bisogno che questi si introduca nel sistema di cell-broadcasting impiegato, ma è sufficiente che – come ingegneria sociale vuole – sappia sfruttare semplicemente la notizia dell’evento e del nuovo sistema a proprio vantaggio. Magari giovandosi anche di alcuni domini it-alert fasulli per veicolare dei link malevoli all’interno di comunicazione tramite SMS spacciandosi per il “sistema di allerta”.

In pratica può avvantaggiarsi dell’autorevolezza e notorietà del sistema, facendo leva sull’ignoranza delle potenziali vittime. In tal senso andrebbe evidenziato questo rischio specifico, in quanto la FAQ specifica che risponde alla domanda “IT-alert è un SMS?” si limita ad alcune precisazioni:

No, IT-alert non è un SMS.
IT-alert utilizza la propagazione broadcast. Il grande vantaggio di questa tecnica è che funziona anche quando la rete è congestionata. La trasmissione via cellulare è gratuita e anonima: non è necessario registrarsi e il proprio numero rimane sconosciuto. Non ci sono dunque implicazioni sulla privacy perché non viene acquisito alcun dato personale.
Quando la notifica di IT-alert arriva sul dispositivo blocca temporaneamente tutte le altre funzionalità del cellulare. Per riportare il dispositivo alle condizioni ordinarie di utilizzo è necessario toccarlo in corrispondenza della notifica per confermare la ricezione.

Insomma: andrebbe chiarito che ad esempio non sono forniti mai dei link, che l’unico sito istituzionale ed attendibile è www.it-alert.it nonché informare sulla possibilità tutt’altro che imprevedibile de
nonché evidenziata la possibilità tutt’altro che imprevedibile che si possano svolgere campagne fraudolente chiarendo lo smishing e le dinamiche che potrebbe sfruttare in concreto.

Anche questo è fare cultura digitale e prevenzione. Certo, bisogna pensarci.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

World Leaks rivendica un Attacco informatico ad ACEA. Aggiornamenti tra 21 ore
Di Redazione RHC - 29/07/2025

Un attacco informatico ai danni di ACEA SpA, colosso italiano attivo nella produzione e distribuzione di elettricità, gas e servizi idrici, è stato rivendicato dai criminali informatici di W...

Zero-click exploit: la nuova frontiera invisibile degli attacchi informatici
Di Redazione RHC - 29/07/2025

Negli ultimi anni, la cybersecurity ha visto emergere minacce sempre più sofisticate, capaci di compromettere dispositivi e dati personali senza che l’utente compia alcuna azione. Tra ques...

Fire Ant all’attacco: come un bug in vCenter apre le porte all’inferno IT
Di Redazione RHC - 28/07/2025

Sygnia segnala che il vettore di attacco iniziale di Fire Ant CVE-2023-34048, sfrutta la vulnerabilità di scrittura fuori dai limiti nell’implementazione del protocollo DCERPC di vCenter S...

Obiettivo: La tua Voce! Scattered Spider mira ai VMware ESXi clonando le voci degli impiegati
Di Redazione RHC - 28/07/2025

Il gruppo Scattered Spider ha intensificato i suoi attacchi agli ambienti IT aziendali, prendendo di mira gli hypervisor VMware ESXi di aziende statunitensi nei settori della vendita al dettaglio, dei...

PornHub, YouPorn si adeguano alle leggi UK… e Telegram introduce il bot per correre ai ripari
Di Redazione RHC - 28/07/2025

Telegram ha introdotto un bot ufficiale progettato per verificare l’età degli utenti scansionando i loro volti. Come sottolineato da Code Durov, la funzione è disponibile nel Regno Un...