Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

IT-alert: il sistema di allarme pubblico fra polemiche e…rischio di phishing!

Stefano Gazzella : 29 Giugno 2023 15:53

Cosa è IT-alert? Facile: un sistema di allarme pubblico attualmente in fase di sperimentazione basato su una tecnologia di cell-broadcast. In pratica, impiegando gruppi di celle telefoniche è possibile allertare tutti gli smartphone accesi e connessi presenti all’interno di una determinata area e questo può rivelarsi particolarmente utile per inoltrare un’allerta tempestiva. L’idea alla base, peraltro già impiegata in altri paesi europei e negli Stati Uniti, è infatti quella di comunicare in modo unidirezionale alcune informazioni “anche in casi di campo limitato o in casi di saturazione della banda telefonica” all’interno di una zona interessata da un’emergenza.

Le emergenze sono quelle indicate dalla Direttiva 7 febbraio 2023 della Presidenza del Consiglio dei Ministri – Dipartimento della Protezione Civile:

  • maremoto generato da un sisma;
  • collasso di una grande diga;
  • attività vulcanica, relativamente ai vulcani Vesuvio, Campi Flegrei, Vulcano e Stromboli;
  • incidenti nucleari o situazione di emergenza radiologica;
  • incidenti rilevanti in stabilimenti soggetti al decreto legislativo 26 giugno 2015, n. 105 (Direttiva Seveso);
  • precipitazioni intense.
  • Solo a sperimentazione ultimata, si deciderà per quali di questi eventi elencati il sistema diventerà operativo.

Impossibile non notare però la poca attenzione alla privacy. Per l’ennesima volta in un progetto pubblico, con pretese d’impiego su larga scala. In un tweet di @prevenzione è stata infatti segnalata tanto la mancanza di informativa quanto l’impiego di un modulo di Microsoft Forms per la ricezione dei feedback. Per alcuni potrebbero sembrare dettagli, ma insomma: se privacy by design deve essere, che sia.
O altrimenti si abbia il coraggio di confermare esplicitamente che nell’approccio pubblico alla compliance GDPR c’è il metodo Onofrio del Grillo, e quindi vige il principio per cui io so’ io…, con buona pace dei diritti degli interessati nonché di tutti coloro che invece si adeguano al rispetto della norma.

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

E questo possiamo dire che ha fornito un assist alle inevitabili polemiche che si sono generate.

Le reazioni

Le reazioni sono state, come è di consueto nelle “novità” tecnologiche provenienti dall’attore pubblico, polarizzate ivi incluse teorie piuttosto singolari su possibilità di intromissioni da parte dello Stato nei propri smartphone che…già è ampiamente possibile e realizzabile. Confondendosi circa la natura di comunicazione unidirezionale del broadcast, per cui i dispositivi funzionano in mera ricezione.

Ma come al solito è emersa in reazione a dubbi (anche sciocchi, beninteso) o teorie del complotto, il fronte estremista dei techspainers, ovverosia coloro che proclamando l’intenzione del “te lo spiego io” hanno approfittato per scagliarsi contro chiunque osasse sollevare dubbi o opposizioni. Come sempre accomuna una totale assenza di empatia, o incapacità in tal senso, poiché quel che davvero rileva non è fornire informazione su una determinata tecnologia ma giovarsi dell’occasione per salire su un palchetto di pretesa superiorità morale e proclamare “tacete ignoranti!” un po’ verso chiunque.
Una storia già vista e ricorrente, che certamente non giova all’educazione digitale del Paese, nonostante gli stessi se ne autoproclamino cultori o alfieri.

Le reazioni sono però indicative di una sfiducia nei confronti delle istituzioni. Sfiducia che si conferma e assume una magnitudo decisamente più elevata nel momento in cui queste propongono soluzioni tecnologiche, in ragione di una diffusa ignoranza circa il funzionamento delle stesse e la carenza di quella cultura digitale che è ben rimasta nelle intenzioni. E che comprende anche l’utilizzo consapevole delle tecnologie. In assenza di conoscenza, il sentimento più prevedibile (e strumentalizzabile) è la paura.

Come superare questa diffidenza? Non esiste una ricetta miracolosa. Certo, un impegno maggiore sulla trasparenza non può che comportare giovamenti significativi.

Rischi concreti: l’allerta phishing

Il rischio concreto, e su cui forse non è ancora stata fatta adeguata informazione, riguarda la possibilità che un cybercriminale sfrutti questo tipo di novità a proprio vantaggio per attuare delle campagne fraudolente. E no, non c’è bisogno che questi si introduca nel sistema di cell-broadcasting impiegato, ma è sufficiente che – come ingegneria sociale vuole – sappia sfruttare semplicemente la notizia dell’evento e del nuovo sistema a proprio vantaggio. Magari giovandosi anche di alcuni domini it-alert fasulli per veicolare dei link malevoli all’interno di comunicazione tramite SMS spacciandosi per il “sistema di allerta”.

In pratica può avvantaggiarsi dell’autorevolezza e notorietà del sistema, facendo leva sull’ignoranza delle potenziali vittime. In tal senso andrebbe evidenziato questo rischio specifico, in quanto la FAQ specifica che risponde alla domanda “IT-alert è un SMS?” si limita ad alcune precisazioni:

No, IT-alert non è un SMS.
IT-alert utilizza la propagazione broadcast. Il grande vantaggio di questa tecnica è che funziona anche quando la rete è congestionata. La trasmissione via cellulare è gratuita e anonima: non è necessario registrarsi e il proprio numero rimane sconosciuto. Non ci sono dunque implicazioni sulla privacy perché non viene acquisito alcun dato personale.
Quando la notifica di IT-alert arriva sul dispositivo blocca temporaneamente tutte le altre funzionalità del cellulare. Per riportare il dispositivo alle condizioni ordinarie di utilizzo è necessario toccarlo in corrispondenza della notifica per confermare la ricezione.

Insomma: andrebbe chiarito che ad esempio non sono forniti mai dei link, che l’unico sito istituzionale ed attendibile è www.it-alert.it nonché informare sulla possibilità tutt’altro che imprevedibile de
nonché evidenziata la possibilità tutt’altro che imprevedibile che si possano svolgere campagne fraudolente chiarendo lo smishing e le dinamiche che potrebbe sfruttare in concreto.

Anche questo è fare cultura digitale e prevenzione. Certo, bisogna pensarci.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.
Visita il sito web dell'autore