La Protezione civile è al lavoro per implementare It-Alert, il servizio nazionale di allarme su smartphone che andrà ad aggiungersi agli attuali canali di comunicazione. I test sono partiti in estate e sono tuttora in corso. I cittadini delle varie regioni e province autonome ricevono un messaggio di allerta e vengono poi invitati a compilare un questionario di 24 domande utile ai tecnici per tarare meglio il servizio.
It-Alert e rischio phishing
Ci si è domandati se It-Alert possa essere utilizzato dai truffatori per raggiungere in maniera indiscriminata una quantità di utenti. La risposta a questa domanda sembra essere affermativa. Se appare certamente difficile che It-Alert possa venire hakerato, non è comunque da escludere che il servizio possa diventare oggetto di tentativi di phishing. In sintesi, i truffatori potrebbero inviare sms sui cellulari di ignari utenti spacciandoli per gli alert della Protezione civile.
L’allarme arriva da Adrianus Warmenhoven, Cybersecurity Advisor per NordVPN.
“Molte persone sono preoccupate sulle possibili limitazioni di privacy di questo progetto”, dice Warmenhoven. In realtà i rischi per la privacy relativi a It-Alert sono già stati ampiamente smentiti. It-Alert non è una app, ma è parte integrante del sistema operativo di ogni smartphone ed è attivato di default. E quelli che vengono ricevuti non sono sms in senso stretto, ma notifiche push.
“Tuttavia – prosegue Adrianus Warmenhoven – per quanto riguarda aspetti relativi alla cybersecurity, non è da escludere che gli avvisi governativi possano essere utilizzati in modo improprio da malintenzionati terzi. Poiché molte persone non hanno ancora familiarità con il concetto di messaggio di allerta e l’aspetto del messaggio stesso, possono essere facilmente ingannate da truffatori e hacker via sms. Gli hacker hanno a disposizione enormi database di numeri di telefono delle persone sul dark web e possono usarli per questi attacchi”.
Il rischio è quello tipico di ogni classico attacco phishing via smartphone: “Un criminale può inviare un sms con un link pericoloso che può reindirizzare a un sito web di phishing con un modulo che richiede dati potenzialmente sensibili. Il link può anche includere un malware che può infettare il dispositivo e rubare i dati personali dell’utente”, prosegue Warmenhoven.
Come evitare il phishing
I truffatori simulano da anni l’invio di messaggi da parte di enti come Inps, Poste Italiane e Agenzia delle Entrate. E non è escluso che possano simulare l’invio di messaggi It-Alert.
Due le eventuali anomalie che devono insospettire: It-Alert rimanda esclusivamente al sito web ufficiale. Ogni altro sito è da considerarsi un tentativo di truffa; il questionario non pone domande personali, se non relativamente a questi tre dati: città di residenza, tipo di smartphone e la compagnia telefonica utilizzata. Si tratta di informazioni utili ai tecnici al lavoro per tarare al meglio il servizio. Qualsiasi altra domanda che cerchi di addentrarsi nel vissuto degli utenti deve far scattare un campanello d’allarme.
I consigli sono due: installare sullo smartphone un software antimalware e segnalare immediatamente alle autorità eventuali anomalie.
Calendario It-Alert
Questo il calendario dei rimanenti test It-Alert (salvo variazioni):
- 19 settembre in Basilicata, Lombardia e Molise;
- 21 settembre nel Lazio, in Valle d’Aosta e Veneto;
- 26 settembre in Abruzzo e nella Provincia Autonoma di Trento;
- 27 settembre in Liguria;
- 13 ottobre nella Provincia Autonoma di Bolzano.
La Protezione civile ricorda che ricevere i messaggi It-Alert non basta. I cittadini sono invitati a informarsi sui rischi specifici del territorio di residenza, ovvero alluvioni, incendi boschivi, maremoti, terremoti ed eruzioni vulcaniche. A tale proposito è stato istituito il portale Io non rischio.