It-alert è un sistema pubblico di allarme il cui fine è informare le persone, tramite i loro smartphone, di situazioni di pericolo che si stanno verificando o che stanno per verificarsi. Attualmente è in fase di sperimentazione.
La sperimentazione
Il messaggio di testo che It-alert invia viene ricevuto dai dispositivi mobili accesi delle persone che si trovano, in quel momento, nell’area coinvolta dalla situazione di emergenza.
Al momento, It-alert è in uno stato di prova. Quando sarà attivo, verrà usato per le seguenti tipologie di pericolo nell’ambito della protezione civile, designate al momento dalla Direttiva del 7 febbraio 2023:
- maremoto generato da un sisma;
- crollo di una grande diga;
- attività vulcanica, relativa ai vulcani Vesuvio, Campi Flegrei, Vulcano e Stromboli;
- incidenti nucleari o situazioni di pericolo radiologico;
- imprevisti considerevoli in stabilimenti soggetti al decreto legislativo 26 giugno 2015, n. 105 (Direttiva Seveso);
- piogge continue.
In tale periodo di test è il Dipartimento della Protezione Civile che si appresta ad inviare messaggi. Però come previsto dalla Direttiva del Ministro per la protezione civile e le politiche del mare del 7 febbraio 2023, le parti del Servizio nazionale di protezione civile potranno gradualmente servirsi prontamente dell’apparato.
Come già spiegato, gli individui che saranno presenti nella zona in questione, potranno ricevere un messaggio di testo, accompagnato da un suono distinguibile e, inoltre, diverso dalle solite suonerie. Durante le prove, quello che si vuole raggiungere è un’ampia divulgazione di It-alert, così che si renda riconoscibile e familiare il messaggio, mentre si esamina il sistema. Quindi gli utenti avranno, al contempo, la possibilità di compilare un questionario, che permetterà una migliore attuazione della tecnologia.
Funzionamento
It-alert è un apparato pubblico che, tramite l’invio di comunicazioni sui dispositivi presenti nella zona coinvolta da un’emergenza consistente o evento catastrofico che sia prossimo o in corso, può essere di aiuto nel fornire l’informazione tempestiva alle persone potenzialmente coinvolte, con il fine di ridurre l’esposizione individuale e collettiva al pericolo.
Le comunicazioni It-alert si propagano tramite cell-broadcast. Gli apparecchi mobili, connessi alle celle delle reti degli operatori di telefonia mobile, quando attivi, potranno ricevere informazioni in un messaggio ‘It-alert’. Con la tecnologia cell-broadcast i messaggi si possono inviare dentro un insieme di celle telefoniche vicine, in grado di limitare la zona in questione, colpita dall’emergenza.
Questa tecnologia (cell broadcast) è operante sia quando il campo di ricezione è limitato o in situazioni di congestione della linea telefonica.
Gli smartphone non possono ricevere le comunicazioni di It-alert quando spenti, in assenza di linea telefonica.
Non è prevista l’installazione di applicazioni. Ma a volte può risultare utile accertarsi come il dispositivo sia stato impostato, se è stato eseguito un ripristino da un backup (salvataggio della memoria) o se in uso una versione precedente del sistema operativo.
In più, la notifica It-alert è correlata anche al modello, al sistema operativo e anche alla versione installata.
Per ricevere le comunicazioni It-alert, anche di prova, non bisogna eseguire alcuna azione. Anche qualora la voce It-alert – che si trova nei differenti dispositivi, nella sezione degli avvisi di emergenza – sia disattivata, i messaggi sia in fase di prova e anche quando la tecnologia sarà operativa, arriveranno lo stesso sui dispositivi; poiché viene impiegato il livello massimo di azione per l’invio.
Le date
Il sito dedicato, it-alert.gov.it, ci fa sapere che: «Da giugno 2023, organizzati in raccordo tra Dipartimento della Protezione Civile, Regioni coinvolte, Commissione protezione civile della Conferenza delle Regioni e Province Autonome, Anci, verranno svolti i primi test, secondo il seguente calendario:
- 28 giugno Toscana;
- 30 giugno Sardegna;
- 5 luglio Sicilia;
- 7 luglio Calabria;
- 10 luglio Emilia-Romagna».
«Entro la fine del 2023», indica la fonte sopra citata, «verranno effettuati i test nelle altre Regioni e nelle Province Autonome di Bolzano e Trento».
Privacy
Il Garante per la Protezione dei Dati Personali (Gpdp) dichiara in un comunicato:
Attraverso specifiche funzionalità del dispositivo mobile, gli utenti sono in grado autonomamente di disattivare le notifiche, con l’eccezione di quelle relative ai messaggi di allerta classificati di maggiore gravità (c.d. IT-Alert level 1).
Lo schema di decreto prevede, inoltre, che al fine di scongiurare l’invio di messaggi non autorizzati, ogni operatore adotti adeguati sistemi di protezione dei propri CBC e che ogni CBC accetti solo messaggi certificati provenienti da fonti autorizzate mediante meccanismi di doppia firma dei messaggi con chiavi di cifratura scambiate fra le parti in modo sicuro (cfr. Allegato I, punti 11 e 12).
RITENUTO
Lo schema di decreto in esame istituisce il Sistema di allerta pubblico volto a trasmettere “…ai terminali presenti in una determinata area geografica, dei Messaggi IT-alert riguardanti gli scenari di rischio, l’organizzazione dei servizi di protezione civile del proprio territorio e le misure di autoprotezione” (cfr. art. 28, comma 1, lett.ee-quinquies del d.lgs. n. 259/2003), escludendo l’utilizzo per finalità diverse da quelle ivi previste dei dati eventualmente raccolti.
Come sopra precisato, si rileva che le modalità di trasmissione dei messaggi prevista dal Sistema di allerta non comportano la conoscenza dei numeri di telefono dei terminali mobili e, conseguentemente, nemmeno dell’identità dei contraenti o utenti delle reti di comunicazione mobile cellulare.
È previsto, infatti, che il messaggio di allerta sia inviato indistintamente e contemporaneamente a tutti i dispositivi cellulari compresi in una determinata area geografica (c.d. area target), in modalità broadcast.
Pertanto, gli apparati di trasmissione di ciascun operatore potranno inviare il messaggio ai propri clienti, ma anche ai clienti di altri operatori di telefonia mobile, in modo del tutto indifferenziato, imprevedibile a priori e, comunque, non tracciabile. Sul punto si evidenzia, infatti, che il servizio Cell Broadcast non prevede alcuna risposta di “avvenuta ricezione” da parte del dispositivo mobile dell’interessato.
Si valuta, inoltre, positivamente la misura prevista volta a consentire la disattivazione autonoma da parte dell’interessato, attraverso specifiche funzionalità del dispositivo mobile, della ricezione dei messaggi di allerta classificati di minore gravità, fermo restando il necessario rispetto, da parte degli operatori e dei produttori dei dispositivi, delle indicazioni – contenute nella norma tecnica – in base alle quali tale opzione di non visualizzazione di talune tipologie di messaggi broadcast debba essere garantita da impostazioni standard di trasmissione e settaggi dei dispositivi riceventi.
Al fine di meglio garantire la correttezza e la trasparenza nei confronti dei destinatari dei messaggi si rileva che, sebbene – in ragione delle caratteristiche emergenziali del trattamento e dell’impossibilità di individuarli a priori – risulti impossibile informare preventivamente tutti, occorre, in ogni caso, individuare misure appropriate per tutelare i diritti e le libertà degli stessi. Ciò, assicurando la più ampia conoscibilità delle informazioni relative alle modalità e alle finalità di invio dei messaggi attraverso il Sistema pubblico di allerta tramite specifiche campagne informative – chiarendo che la trasmissione broadcast dei messaggi non comporta la conoscenza dei numeri di telefono e dell’identità degli interessati, nonché evidenziando le modalità di disattivazione dei messaggi di minore gravità.
Infine, si osserva che le misure tecniche e organizzative, descritte nell’Allegato 1, risultano idonee a garantire un livello di sicurezza adeguato ai rischi , come disciplinato dallo schema di decreto in esame, con particolare riferimento alla necessaria certificazione dei messaggi che ne assevera la provenienza da fonti autorizzate.
Critiche
Tuttavia, durante il questionario che si è svolto recentemente, sono state fatte notare possibili inosservanze.
Il Dipartimento ha usato Microsoft Forms. E sebbene le risposte vengano raccolte in modo anonimo, gli aspetti della privacy sono poco chiari data l’assenza di una politica sulla privacy del questionario.
Inoltre la piattaforma impiegata è di proprietà di una società statunitense.
Difatti sulla pagina del questionario si può leggere che il contenuto è stato creato dal proprietario; e i dati forniti gli saranno poi inoltrati. Inoltre Microsoft, l’azienda sopracitata, non è responsabile per la privacy o le procedure di sicurezza dei propri clienti, comprese quelle del proprietario del modulo.
Phishing
Il sito ufficiale del sistema It-alert, non pone attenzione ai possibili problemi derivanti da tentativi di furto delle informazioni (phishing) che si possono verificare anche durante la fase di prove.
Gli attori con secondi fini, sapendo delle prove, potrebbero inviare messaggi di testo che somigliano a quelli di allarme, per indurre le persone a cliccare su link che indirizzano a pagine internet il cui fine è portare a termine le pratiche criminali; possibilmente contenenti virus.
Da notare che nelle domande frequenti (Faq) del sito dedicato, la domanda numero 20 riporta come agire al momento della ricezione delle comunicazioni It-alert durante le prove del sistema. E ci viene indicato che quando arrivano le informazioni nel periodo delle verifiche, non vi è nulla da compiere; ma compilare il questionario può dare suggerimenti nell’applicare la tecnologia in questione.
Informare su eventuali pericoli di phishing, tuttavia, si può rivelare di beneficio a chi non è molto al corrente riguardo tali minacce derivanti da tali operazioni illegali.
