IT-alert: il sistema di allarme pubblico fra polemiche e…rischio di phishing!

Cosa è IT-alert? Facile: un sistema di allarme pubblico attualmente in fase di sperimentazione basato su una tecnologia di cell-broadcast. In pratica, impiegando gruppi di celle telefoniche è possibile allertare tutti gli smartphone accesi e connessi presenti all’interno di una determinata area e questo può rivelarsi particolarmente utile per inoltrare un’allerta tempestiva. L’idea alla base, peraltro già impiegata in altri paesi europei e negli Stati Uniti, è infatti quella di comunicare in modo unidirezionale alcune informazioni “anche in casi di campo limitato o in casi di saturazione della banda telefonica” all’interno di una zona interessata da un’emergenza.

Le emergenze sono quelle indicate dalla Direttiva 7 febbraio 2023 della Presidenza del Consiglio dei Ministri – Dipartimento della Protezione Civile:

• maremoto generato da un sisma;
• collasso di una grande diga;
• attività vulcanica, relativamente ai vulcani Vesuvio, Campi Flegrei, Vulcano e Stromboli;
• incidenti nucleari o situazione di emergenza radiologica;
• incidenti rilevanti in stabilimenti soggetti al decreto legislativo 26 giugno 2015, n. 105 (Direttiva Seveso);
• precipitazioni intense.
• Solo a sperimentazione ultimata, si deciderà per quali di questi eventi elencati il sistema diventerà operativo.

Impossibile non notare però la poca attenzione alla privacy. Per l’ennesima volta in un progetto pubblico, con pretese d’impiego su larga scala. In un tweet di @prevenzione è stata infatti segnalata tanto la mancanza di informativa quanto l’impiego di un modulo di Microsoft Forms per la ricezione dei feedback. Per alcuni potrebbero sembrare dettagli, ma insomma: se privacy by design deve essere, che sia.
O altrimenti si abbia il coraggio di confermare esplicitamente che nell’approccio pubblico alla compliance GDPR c’è il metodo Onofrio del Grillo, e quindi vige il principio per cui io so’ io…, con buona pace dei diritti degli interessati nonché di tutti coloro che invece si adeguano al rispetto della norma.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

E questo possiamo dire che ha fornito un assist alle inevitabili polemiche che si sono generate.

Le reazioni

Le reazioni sono state, come è di consueto nelle “novità” tecnologiche provenienti dall’attore pubblico, polarizzate ivi incluse teorie piuttosto singolari su possibilità di intromissioni da parte dello Stato nei propri smartphone che…già è ampiamente possibile e realizzabile. Confondendosi circa la natura di comunicazione unidirezionale del broadcast, per cui i dispositivi funzionano in mera ricezione.

Ma come al solito è emersa in reazione a dubbi (anche sciocchi, beninteso) o teorie del complotto, il fronte estremista dei techspainers, ovverosia coloro che proclamando l’intenzione del “te lo spiego io” hanno approfittato per scagliarsi contro chiunque osasse sollevare dubbi o opposizioni. Come sempre accomuna una totale assenza di empatia, o incapacità in tal senso, poiché quel che davvero rileva non è fornire informazione su una determinata tecnologia ma giovarsi dell’occasione per salire su un palchetto di pretesa superiorità morale e proclamare “tacete ignoranti!” un po’ verso chiunque.
Una storia già vista e ricorrente, che certamente non giova all’educazione digitale del Paese, nonostante gli stessi se ne autoproclamino cultori o alfieri.

Le reazioni sono però indicative di una sfiducia nei confronti delle istituzioni. Sfiducia che si conferma e assume una magnitudo decisamente più elevata nel momento in cui queste propongono soluzioni tecnologiche, in ragione di una diffusa ignoranza circa il funzionamento delle stesse e la carenza di quella cultura digitale che è ben rimasta nelle intenzioni. E che comprende anche l’utilizzo consapevole delle tecnologie. In assenza di conoscenza, il sentimento più prevedibile (e strumentalizzabile) è la paura.

Come superare questa diffidenza? Non esiste una ricetta miracolosa. Certo, un impegno maggiore sulla trasparenza non può che comportare giovamenti significativi.

Rischi concreti: l’allerta phishing

Il rischio concreto, e su cui forse non è ancora stata fatta adeguata informazione, riguarda la possibilità che un cybercriminale sfrutti questo tipo di novità a proprio vantaggio per attuare delle campagne fraudolente. E no, non c’è bisogno che questi si introduca nel sistema di cell-broadcasting impiegato, ma è sufficiente che – come ingegneria sociale vuole – sappia sfruttare semplicemente la notizia dell’evento e del nuovo sistema a proprio vantaggio. Magari giovandosi anche di alcuni domini it-alert fasulli per veicolare dei link malevoli all’interno di comunicazione tramite SMS spacciandosi per il “sistema di allerta”.

In pratica può avvantaggiarsi dell’autorevolezza e notorietà del sistema, facendo leva sull’ignoranza delle potenziali vittime. In tal senso andrebbe evidenziato questo rischio specifico, in quanto la FAQ specifica che risponde alla domanda “IT-alert è un SMS?” si limita ad alcune precisazioni:

No, IT-alert non è un SMS.
IT-alert utilizza la propagazione broadcast. Il grande vantaggio di questa tecnica è che funziona anche quando la rete è congestionata. La trasmissione via cellulare è gratuita e anonima: non è necessario registrarsi e il proprio numero rimane sconosciuto. Non ci sono dunque implicazioni sulla privacy perché non viene acquisito alcun dato personale.
Quando la notifica di IT-alert arriva sul dispositivo blocca temporaneamente tutte le altre funzionalità del cellulare. Per riportare il dispositivo alle condizioni ordinarie di utilizzo è necessario toccarlo in corrispondenza della notifica per confermare la ricezione.

Insomma: andrebbe chiarito che ad esempio non sono forniti mai dei link, che l’unico sito istituzionale ed attendibile è www.it-alert.it nonché informare sulla possibilità tutt’altro che imprevedibile de
nonché evidenziata la possibilità tutt’altro che imprevedibile che si possano svolgere campagne fraudolente chiarendo lo smishing e le dinamiche che potrebbe sfruttare in concreto.

Anche questo è fare cultura digitale e prevenzione. Certo, bisogna pensarci.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore