NEWS

I messaggi d’emergenza IT-Alert non violano la privacy ma in compenso possono scatenare il caos

Il noto proverbio “uomo avvisato mezzo salvato” rende bene l’idea di quanto possa essere di vitale importanza il fatto di essere tempestivamente messi a conoscenza di una catastrofe imminente nella zona in cui ci troviamo per avere il tempo di mettersi in salvo, come ad esempio nel caso in cui si verifichi uno tsunami o il collasso di una grande diga, e il sistema di allertamento IT-Alert che il Dipartimento nazionale della Protezione civile sta sperimentando sul territorio italiano in questo periodo si pone proprio questo obiettivo, visualizzando in situazioni del genere un messaggio di allarme sugli smartphone degli utenti.

Nicola Bernardi, presidente di Federprivacy

(Nella foto: Nicola Bernardi, presidente di Federprivacy)

Tuttavia, l’introduzione di questo nuovo strumento non è stata accolta con entusiasmo da tutti, e non sono mancate neppure critiche sollevate da chi per vari motivi si manifesta contrario al servizio dei messaggi d’emergenza oppure reclama il diritto alla privacy, probabilmente quello inteso come “the right to be let alone” (diritto ad essere lasciati in pace) evocato dal giurista Samuel Warren nel 1890, perché secondo la disciplina attuale, basata sulla protezione dei dati personali, il rispetto del GDPR non è da mettere in discussione in quanto gli impatti sembrano essere effettivamente esigui, e perciò fin dal 2019 il Garante aveva dato il proprio nulla osta, rilevando che “le modalità di trasmissione dei messaggi prevista dal Sistema di allerta non comportano la conoscenza dei numeri di telefono dei terminali mobili e, conseguentemente, nemmeno dell’identità dei contraenti o utenti delle reti di comunicazione mobile cellulare”.

Pur non tracciando gli abbonati in alcun modo che li renda identificabili, come spiegava l’Authority nel provvedimento n. 193 del 17 ottobre 2019, la tecnologia cell-broadcast impiegata per diramare rapidamente le informazioni sulle possibili situazioni di pericolo comporta tuttavia che “il messaggio di allerta sia inviato indistintamente e contemporaneamente a tutti i dispositivi cellulari compresi in una determinata area geografica (c.d. area target)”, e pertanto essa non è esente da rischi di pericolosi effetti boomerang, come quello di innescare un’improvvisa situazione di panico incontrollato che potrebbe potenzialmente provocare danni addirittura superiori al beneficio perseguito, come ad esempio accadde nel gennaio 2018 quando la popolazione delle isole Hawaii, già in ansia per le crescenti tensioni tra Stati Uniti e Corea del Nord, fu gettata nel caos da un messaggio di emergenza che avvertiva di un incombente attacco missilistico. E se l’allarme risultò poi del tutto privo di fondamento e fu revocato dopo 38 lunghissimi minuti senza neanche troppe spiegazioni sulle cause di quel drammatico errore, (vedasi nell’immagine i due messaggi dell’epoca inviati dalle autorità), resteranno sicuramente indelebili i traumi nella mente di coloro che vissero quella situazione di terrore in mezzo a migliaia di persone che fuggivano gridando per le strade in preda alla disperazione per una minaccia missilistica inesistente.

I messaggi di emergenza sono efficaci per evvertire un gran numero di persone di una catastrofe imminente, ma hann il potenziale di innescare in pochi attimi situazioni apocalittiche

E se è risaputo che nell’applicazione delle norme di sicurezza nei piani di evacuazione è fondamentale riuscire a far mantenere la calma alle persone e far comprendere loro l’importanza di attendere le istruzioni del personale addetto, non servono d’altra parte neppure troppe competenze in materia per immaginare gli effetti disastrosi che potrebbero verificarsi se una folla di 50.000 spettatori riuniti in uno stadio per un evento sportivo o un concerto ricevessero simultaneamente sul proprio telefonino un messaggio IT-Alert che li avvertisse di una catastrofe imminente, e forse almeno sotto questo aspetto le critiche sollevate per l’introduzione di questa tecnologia possono essere pure plausibili, anche perché quello delle Hawaii non è l’unico caso verificatosi.

Basti pensare che il 20 aprile 2023 i residenti della Florida sono stati svegliati da un messaggio di emergenza inviato sui loro cellulari alle 4.45 del mattino, e anche se poi esso si rivelato un test effettuato in modo errato a seguito del quale The state’s Division of Emergency Management (l’equivalente della nostra Protezione Civile) ha dovuto fare mea culpa e porgere le proprie sentite scuse ai cittadini, possiamo solo immaginare lo spavento che questi si saranno presi a ricevere quel falso allarme prima dell’alba.

Ma se spesso è l’errore umano a scatenare il panico con messaggi di allerta inviati maldestramente, situazioni di caos potrebbero invece essere causate di proposito dagli hacker o da attaccanti informatici nell’ambito di una guerra cibernetica tra Stati, e di recente è addirittura emerso che il nuovo sistema di messaggi d’emergenza della Gran Bretagna può essere violato con meno di 1.000 sterline di apparecchiature e un tutorial pubblicato su YouTube, così che cybercriminali o individui che avessero intenzione di fare scherzi di pessimo gusto potrebbero utilizzare la tecnologia analoga al nostro sistema IT-Alert per inviare falsi avvisi di atti di terrorismo o di un’altra situazione d’emergenza a tutti i cellulari che si trovano in una determinata zona, scatenando il panico negli stadi di calcio, all’interno di una metropolitana, o nei centri cittadini.

Anche se lo strumento IT-Alert potrà pure avere degli aspetti positivi in termini di efficacia, d’altra parte sapere che esso è conforme alla normativa sulla protezione dei dati personali non è che una magra consolazione rispetto al preoccupante potenziale che ha di innescare in pochi attimi situazioni apocalittiche dalle conseguenze di fatto imprevedibili, e invece che evitare la catastrofe potrebbe provocarne una.

di Nicola Bernardi (Nòva Il Sole 24 Ore)

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Cyberattacco all'ospedale Vanvitelli di Napoli: gli hacker chiedono il riscatto
Next Riconoscimento facciale, una decisione della Corte europea dei diritti dell’uomo in Russia riguarda anche noi

Il furto d'identità con l'intelligenza artificiale

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy