Allegato 1
1. Attivazione del Servizio IT-Alert
L'attivazione del "servizio IT-Alert" richiede che, nel rispetto
degli standard 3GPP TS 23.041 V15.3.0 (2018-09) "Technical
realization of Cell Broadcast Service (CBS)", ogni operatore di
telefonia realizzi e mantenga in operativita' h24 presso le proprie
sedi almeno una coppia di entita' CBC (Cell Broadcast Centre),
finalizzata al trasferimento immediato dei messaggi ricevuti dalle
corrispondenti entita' CBE (Cell Broadcast Entity) alle proprie
infrastrutture di rete, e da qui, in modalita' broadcast, a tutti i
dispositivi cellulari ad esse agganciati (Figura 1).
Parte di provvedimento in formato grafico
Figura 1. Servizio IT-Alert. Schema della catena di trasmissione.
Di seguito i requisiti utente e di sistema che dovranno essere
rispettati per la realizzazione delle entita' CBC:
1. Ogni sottosistema CBC deve essere realizzato facendo
riferimento agli standard 3GPP TS 23.041 "Technical realization of
Cell Broadcast Service (CBS)". I requisiti mirano a raggiungere le
caratteristiche della V15.3.0 (2018-09) degli standard, pur nella
consapevolezza che ciascun operatore potra' implementare tale
versione in tempi diversi e successivi all'entrata in operativita'
del servizio IT-Alert. La prestazione di invio di messaggi Cell
Broadcast (CBS) dovra' comunque essere garantita entro le scadenze
previste per tutte le tecnologie (2G, 3G, 4G e 5G) per le quali
ciascun operatore e' titolare di diritti d'uso per frequenze
nazionali.
2. Ogni sottosistema CBC deve distribuire i messaggi a tutti i
nodi della rete dell'operatore telefonico in modo che, per ogni
tecnologia operativa, questi vengano inoltrati contemporaneamente, in
modalita' broadcast, a tutte le celle delle BTS attive comprese
nell'area target e, di conseguenza, ai dispositivi cellulari in quel
momento connessi.
3. Ogni sottosistema CBC deve raggiungere tutti i nodi della rete
telefonica e ripetere il messaggio verso tutte le utenze attive nelle
celle selezionate, comprese le utenze dei "roamers", degli MVNO e
degli MNO che condividono la rete di accesso radio.
4. Ogni sottosistema CBC deve accettare in ingresso il formato
CAP come definito nella versione 1.2 dello standard Oasis e
dettagliato nella specifica nazionale CAP-IT.
5. Ogni messaggio, contenente al massimo 93 caratteri (con
riferimento agli alfabeti di 7 bit di cui allo standard tecnico 3GPP
TS 22.038), deve essere inviato ai dispositivi cellulari attivi
nell'area target entro 3 minuti dall'istante di ricezione da parte
del CBC, ed essere ripetuto, per tutto il periodo di validita',
secondo la frequenza prevista. L'invio di messaggi di lunghezza
superiore a 93 caratteri (sempre con riferimento agli alfabeti di 7
b-it) non deve eccedere di 3 minuti il tempo tecnico di trasmissione.
Eventuali criticita' che dovessero emergere in fase di
realizzazione saranno prese in considerazione per una eventuale
modifica dei requisiti di timing.
6. Per ogni messaggio ricevuto da CBE ogni sottosistema CBC deve
restituire in tempo reale un messaggio di "corretta ricezione" o di
"errore".
7. Per ogni messaggio ricevuto, ottenuto l'esito della
trasmissione dagli elementi della rete di accesso radio, ogni
Operatore deve restituire un report con le informazioni relative al
messaggio (identificativo univoco, tipo, contenuto, inizio e fine
invio, ripetizioni), nonche' l'elenco contenente il codice CGI/e CGI,
la tecnologia, la posizione della BTS e la direzione di irradiazione
delle celle a cui, per ogni tecnologia, e' stato inviato il messaggio
per la trasmissione e l'esito della trasmissione.
8. Ogni sottosistema CBC deve essere connesso con il Dipartimento
della Protezione Civile attraverso link privati ad alta
affidabilita'.
9. Il testo e tutte le meta-informazioni di ogni messaggio, tra
cui l'area target, il periodo di validita' e la frequenza di
ripetizione, dovranno essere ricavati dalla decodifica del messaggio
CAP-IT ricevuto. Allo stesso modo, il CBC dovra' inviare le
informazioni di risposta nello stesso formato.
10. Le entita' CBC di uno stesso operatore devono essere
realizzate per lavorare in alta affidabilita' e disponibilita'
continua h24, ed essere installate presso due nodi geograficamente
distribuiti. Il presente requisito non preclude tuttavia soluzioni
per l'implementazione del CBC che prevedano la condivisione con piu'
reti dello stesso operatore o di piu' operatori e/o la
virtualizzazione in cloud privato ovvero l'esternalizzazione del
servizio CBC, fermo restando l'onere per l'operatore al rispetto
delle specifiche del presente documento e delle prescrizioni di
sicurezza applicabili agli operatori quali infrastrutture critiche.
Al fine di assicurare le attivita' di prevenzione e monitoraggio,
l'eventuale collocazione della funzione CBC fuori dei confini
nazionali dovra' essere valutata e autorizzata di caso in caso.
11. Ogni CBC dovra' accettare solo messaggi certificati
provenienti da fonti autorizzate. Le rispettive chiavi pubbliche e/o
i certificati digitali saranno scambiati in modo sicuro con ciascun
operatore.
12. Al fine di evitare ogni possibilita' di invio di messaggi
Cell Broadcast che non siano stati debitamente autorizzati, e' fatto
carico a ciascun operatore di adottare opportuni sistemi di sicurezza
per proteggere l'accesso ai sottosistemi CBC conformemente alle
prescrizioni di cui all'articolo 4 del decreto del MISE del 12
dicembre 2018, recante misure di sicurezza ed integrita' delle reti
di comunicazione elettronica e notifica degli incidenti
significativi, pubblicato nella Gazzetta Ufficiale, Serie Generale
n.17 del 21-01-2019.
13. Presso le sedi di installazione delle entita' CBC ogni
Operatore dovra' consentire l'installazione degli apparati di rete e
delle connessioni necessarie per la ricezione dei messaggi. Agli
Operatori e' dato il compito di fornire l'hosting degli apparati
(raffrescamento e continuita' energetica) e di consentire l'accesso
per tutti i successivi interventi di manutenzione secondo un
protocollo da concordarsi tra le parti.
14. La comunicazione verso e dalle entita' CBC avverra' secondo
il pattern Publish/Subscribe. Il CBE esporra' un broker a cui tutti i
CBC si dovranno registrare e restare in attesa di messaggi. Al
ricevimento di un messaggio dalla coda, i CBC dovranno processarlo e,
successivamente, inviare la risposta al CBE tramite il broker stesso.
15. Prima dell'inoltro sulla rete cellulare ogni CBC dovra'
verificare la doppia firma digitale associata al messaggio CAP-IT con
cui gli e' stato trasmesso.
2. Attivazione dei messaggi IT-Alert
Ogni entita' CBC realizzata come descritto in precedenza dovra'
processare due tipi di messaggi:
• Messaggi Broadcast: sono i messaggi che devono essere
inoltrati sulla rete cellulare;
• Connection Test: sono i messaggi per la verifica dello stato
di funzionamento delle entita' CBC (non devono essere propagati sulla
rete).
Per discriminare tra i due tipi di messaggi e' necessario fare
riferimento ai seguenti campi dello standard CAP-IT:
• Alert.msgType: identificativo CAP del tipo di messaggio;
• Alert.status: identificativo CAP dello stato del messaggio;
• Alert.scope: identificativo CAP della visibilita' del
messaggio;
• Alert.restriction: identificativo CAP della eventuale lista
di restrizioni di visibilita' del messaggio.
La Tabella 1 riporta la valorizzazione dei campi nei due casi.
|===============|=============|=============|===========|===========|
|Messaggio IT- |Alert.msgType| Alert.status|Alert.scope| Alert. |
| ALERT | | | |restriction|
|===============|=============|=============|===========|===========|
| Messaggio | • Alert | Actual | Public | - |
| Broadcast | • Update | | | |
| | • Cancel | | | |
|---------------|-------------|-------------|-----------|-----------|
|Connection Test| Alert | Test | Restricted| CBC |
|---------------|-------------|-------------|-----------|-----------|
Tabella 1. Valorizzazione dei campi del tracciato CAP-IT per la
discriminazione dei messaggi "broadcast" e dei messaggi "test
connection".
Tutti i messaggi che avessero una diversa combinazione di questi
campi dovranno essere rifiutati dal CBC con un opportuno messaggio di
risposta di tipo "Error".
a.1 Messaggio Broadcast
La formalizzazione delle comunicazioni prevede che ogni messaggio
inviato da un'entita' CBE sia ricevuto da tutte le entita' CBC in
ascolto.
In Figura 2 e' schematizzato il flusso dei messaggi fra CBE e CBC
nel caso di invio di un Messaggio Broadcast:
Parte di provvedimento in formato grafico
Figura 2. Servizio IT-Alert. Schema del flusso dei messaggi fra CBE
e CBC nel caso di invio di un messaggio Broadcast.
Dopo i controlli preliminari dettagliati alla lettera f), e'
previsto che ogni entita' CBC risponda all'entita' CBE con un
messaggio di corretta ricezione (acknowledge) o di rifiuto (error), a
loro volta formalizzati in un nuovo messaggio CAP-IT.
La valorizzazione dei diversi campi e' riportata in Tabella 2.
Parte di provvedimento in formato grafico
Tabella 2. Valorizzazione dei diversi campi del tracciato CAP-IT
nel caso di Messaggio Broadcast
a.2 Test Connection
In Figura 3 e' schematizzato il flusso dei messaggi fra CBE e CBC
nel caso di "test connection".
Parte di provvedimento in formato grafico
Figura 3. Servizio IT-Alert. Schema del flusso dei messaggi fra CBE
e CBC nel caso di Test Connection.
La valorizzazione dei diversi campi e' riportata in Tabella 3.
Parte di provvedimento in formato grafico
Tabella 3. Valorizzazione dei diversi campi del tracciato CAP-IT
nel caso di Test Connection.
3. Contenuti dei messaggi IT-Alert
Le procedure di Protezione Civile che dovranno essere seguite per
l'invio di ogni singolo messaggio IT-Alert devono, in primo luogo,
individuare la sua tipologia, definendo i nove item riportati in
Tabella 4, tra cui le soglie di attivazione per il loro trigger. Le
procedure le soglie e i trigger sono stabiliti d'intesa con le
Regioni e le Province autonome.
Parte di provvedimento in formato grafico
Tabella 4. Possibili valorizzazioni dei nove Item individuati per
la definizione della tipologia di messaggio IT-Alert
I testi di ogni messaggio saranno contenuti in un apposito campo
del tracciato CAP-IT (info.description) che sara' ripetuto
all'occorrenza in diverse lingue.
Lo standard tecnologico a cui, dal 2012, hanno aderito tutti i
produttori di dispositivi cellulari, definisce le regole per la
ricezione e la presentazione dei messaggi di testo sui dispositivi
degli utenti, che avviene come una "notifica", ovvero attraverso un
"pannello modale" (che prende il sopravvento sul display), che
contiene il testo e attende un click di conferma.
Ogni pannello, oltre a una intestazione fissa, puo' contenere fino
a 93 caratteri di testo (spazi inclusi).
Per messaggi piu' lunghi lo standard consente la possibilita' di
concatenare fino a 15 pannelli che si presentano, in sequenza, a
seguito dei "tap" dell'utente sul tasto OK.
Oltre al semplice testo, lo standard afferma che l'apparato
ricevente deve poter processare anche un identificativo URL di una
risorsa Internet o un numero telefonico che siano presenti nel testo
del messaggio.
4. Gestione della richiesta per l'attivazione dei messaggi
IT-Alert;
Tutte le informazioni necessarie per la gestione della richiesta di
attivazione di un'istanza di messaggio IT-Alert avverra' tramite
protocollo CAP-IT.
Ogni file che incapsulera' un messaggio CAP-IT valido sara' quindi
definito da un tracciato standard XML che conterra' tutti gli estremi
del messaggio secondo lo schema definito e sara' composto da un
segmento <Alert>, da uno o piu' segmenti <Info> e, per ciascuno, uno
o piu' segmenti <Area> e <Parameter> (Figura 4)
Parte di provvedimento in formato grafico
Figura 4 Richiesta attivazione messaggi IT-Alert. Schema CAP-IT
Ogni CBC dovra' ricavare le informazioni tramite la mappatura dei
campi del tracciato CAP riportata in Tabella 5.
Viene usata la seguente convenzione tipografica:
• Obbligatorio: il grassetto e' utilizzato per i campi del CAP-IT
obbligatori
• Condizionale: l'Italico e' utilizzato per i campi del CAP-IT
condizionali
• Opzionale: il carattere normale e' utilizzato per i campi del
CAP-IT opzionali
Parte di provvedimento in formato grafico
Tabella 5. Mappatura tra campi del tracciato CAP-IT e informazioni
di interesse/supportate dai CBC.
5. Modalita' di autorizzazione della richiesta di attivazione di un
messaggio IT-Alert;
Prima dell'inoltro di un messaggio sulla rete cellulare, ogni CBC
dovra' verificare la doppia firma digitale associata al formato
CAP-IT con cui gli e' stato trasmesso.
Le comunicazioni avverranno secondo il protocollo TLS 1.2.
Ogni macchina inclusa nella rete dovra', una tantum, generare una
propria coppia di chiavi pubblica e privata. Con la chiave pubblica
verra' generato un apposito certificato dalla Certification Authority
che verra' resa disponibile all'interno della rete. Questo
certificato varra' per le comunicazioni TLS, per verifica delle firme
dei messaggi e per la firma dei messaggi di risposta.
A livello software, la sicurezza del messaggio dal CBE al CBC viene
garantita da una doppia firma del messaggio CAP-IT che deve essere
verificata da parte del CBC prima dell'invio fisico sulla rete. La
doppia firma rappresenta la certificazione del sistema (automatico,
semiautomatico o manuale) che in origine ha scatenato il messaggio e
del CBE che lo ha ricevuto, processato ed inoltrato al CBC.
Per implementare questa doppia firma, il messaggio CAP-IT viene
incapsulato in un apposito tag xml denominato <it Alert></it Alert>,
contenente al suo interno:
2. Il messaggio cap originale, con l'aggiunta di un attributo "id"
al tag <Alert> necessario per poterlo "riferire";
3. Le firme <ds:Signature></ds:Signature> che fanno riferimento al
tag xml che incapsula il vero e proprio cap <Alert></Alert>;
Lo schema riportato in Figura 5 rappresenta la struttura dei tag
del messaggio che verra' ricevuto dal brocker.
Parte di provvedimento in formato grafico
Figura 5. Srvizio IT-Alert. Struttura dei tag XML del messaggio
CAP-IT inviato dal CBE.
L'operazione di verifica delle firme restituisce il documento xml
che rappresenta il solo CAP-IT (senza il tag che lo incapsula e,
ovviamente, senza le firme).
Analogamente, le risposte dal CBC verso il CBE dovranno essere
firmate. In questo caso la firma sara' singola. Lo schema dei tag XML
e' rappresentato in Figura 6:
Parte di provvedimento in formato grafico
Figura 6. Servizio IT-Alert. Struttura dei tag XML del messaggio
CAP-IT di risposta dal CBC.
6. Modalita' di invio dei messaggi IT-Alert;
Tulle le regole tecniche per la realizzazione del servizio IT-Alert
sono raccolte nello standard ETSI TS 102 900 V1.2.1 (2012-01)
"European Public Warning System (EU-Alert) using the Cell Broadcast
Service" a cui l'intero progetto si riferisce, e che contiene le
indicazioni per uniformare il protocollo di comunicazione tra tutti i
paesi europei.
Come riportato in Tabella 66, Il protocollo EU-Alert e' utilizzato
in Italia per l'invio di cinque tipologie di messaggi.
|===|=================|==============================|==============|
| # | Tipo | messaggio |Disattivazione|
| | | | notifiche |
|---|-----------------|------------------------------|--------------|
| 1 |IT-Alert level 1 |Messaggi di allerta a | No |
| | |maggiore severita' | |
|---|-----------------|------------------------------|--------------|
| 2 |IT-Alert level 2 |Messaggi di allerta a | Si |
| | |severita' media | |
|---|-----------------|------------------------------|--------------|
| 3 |IT-Alert level 3 |Messaggi di allerta a | Si |
| | |bassa severita' | |
|---|-----------------|------------------------------|--------------|
| 4 |IT-Monthly test |Messaggio specifico | Si |
| | |per il test mensile | |
|---|-----------------|------------------------------|--------------|
| 5 |IT-Excercise |Messaggio specifico | Si |
| | |per le esercitazioni | |
|---|-----------------|------------------------------|--------------|
Tabella 6. Classificazione dei tipi di messaggio secondo
l'interpretazione italiana dello standard EU-Alert
I messaggi di tipo 1, 2 e 3, sono i veri e propri messaggi di
allerta utili per informare i cittadini di una situazione di pericolo
imminente e sono contraddistinti da tre livelli di gravita'
decrescente.
Per i messaggi di allerta di livello 1, ovvero a maggiore
severita', le notifiche non possono essere disattivate ed il
messaggio sara' comunicato a prescindere dalle opzioni di ricezione
disposte sull'apparato ricevente.
Per tutti gli altri tipi di messaggio ogni utente finale puo'
disattivare dal proprio dispositivo cellulare la ricezione delle
notifiche.
A parita' di tutti gli altri campi valorizzati nel tracciato
CAP-IT, il CBC discriminera' il messaggio in base al campo
<info.event> o, in alternativa, in base alla combinazione dei campi
<info.severity>, <info.urgency> e <info. certainty> e lo inviera'
attraverso opportuni canali a priori definiti.
Oltre questo, il CBC selezionera' il canale di invio anche a fronte
della valorizzazione del campo info.language.
La Tabella 7 mostra la corrispondenza tra i tipi di messaggio dello
Standard EU-Alert e la valorizzazione dei campi del tracciato .XML
del formato CAP-IT.
Nelle ultime due colonne i canali di trasmissione rispettivamente
nel caso della sola lingua italiana e nel caso di piu' lingue:
Parte di provvedimento in formato grafico
Tabella 7. Corrispondenza tra i tipi di messaggio dello Standard
EU-Alert e la valorizzazione dei campi del tracciato CAP-IT.
L'individuazione dell'area target, ovvero dell'area geografica a
cui si intende inviare il messaggio (a tutte le utenze cellulari in
essa attive) e' definita nei segmenti "<Area>" del tracciato CAP.
Compito dei CBC e' quello di attivare, ad ogni occorrenza e per
tutte le tecnologie, tutte le celle installate presso le stazioni
radio base (BTS) presenti nell'area indicata.
In ogni segmento la dimensione e la forma dell'area target possono
essere definite mediante tre differenti metodi (Figura 7, Figura 8):
• <area.polygon>: il messaggio CAP-IT conterra' le coordinate dei
vertici (v) in formato WGS84, di una poligonale chiusa, convessa,
espresse come coppie LAT,LON di numeri decimali separati da spazio
• <area.circle>: il messaggio CAP IT conterra' le coordinate
LAT,LON del centro (c) e il raggio (r) espresso in chilometri.
• <area.geocode>: il messaggio CAP-IT conterra' il riferimento al
"nome" di una o piu' "features" note a priori, precedentemente
inserite all'interno di appositi vocabolari controllati (es: "Comune
di Roma", "area di allertamento LIG-B", "Provincia di Napoli", ecc.).
I "vocabolari controllati" saranno resi disponibili agli Operatori
con cadenza periodica, e conterranno, oltre al nome di ogni singola
area target, anche la poligonale geografica che la rappresenta sul
territorio.
Atteso che, in ogni caso, l'area target non sara' perfettamente
sovrapponibile all'area di copertura delle celle e che una data area
geografica puo' essere servita anche da celle/BTS ubicate all'esterno
dei confini che descrivono l'area, il CBE inviera' a ciascun CBC una
poligonale gia' "estesa" rispetto all'area effettiva di interesse per
l'invio dei messaggi IT-Alert affinche' vengano individuate ed
attivate tutte le celle che ragionevolmente offrono copertura
all'interno dell'area di interesse ("Poligonale netta").
Parte di provvedimento in formato grafico
Figura 7. Messaggi IT-Alert. Definizione delle aree target con i
metodi •area.polygon> e •area.circle>.
Per gli scopi del servizio, l'eventuale allertamento anche di
utenti all'esterno dell'area target, in funzione dell'estensione e
della forma dell'area di copertura delle celle individuate risulta,
infatti, accettabile.
Nel caso dei messaggi automatici o semi-automatici l'area target
nominale (corrispondente al nome della feature) nel corrispondente
vocabolario sara' sempre associata a una figura geometrica
opportunamente estesa, in modo che si possa massimizzare la copertura
delle utenze all'interno di essa (Figura 8).
Parte di provvedimento in formato grafico
Figura 8. Piattaforma IT-Alert. Definizione delle aree target con
il metodo •area.geocode>.
7. Rispetto della normativa in materia di protezione dei dati
personali;
Il servizio IT-Alert viene erogato attraverso l'invio di messaggi
con la tecnologia Cell Broadcast, come definita dagli standard ETSI
TS 102 900 e 3GPP 23041. In particolare, il funzionamento del
servizio non e' basato sul numero dell'utente che deve ricevere il
messaggio, essendo, invece - come specificato al paragrafo 2 dello
standard 3gpp 23041 - un servizio analogo a quello televisivo, che
consente l'invio generalizzato (broadcast o "radiodiffusione
circolare") di messaggi a tutti gli apparati in grado di riceverli
all'interno di una determinata area geografica.
Tale specificita' tecnica pone il servizio IT-Alert al di fuori
dello scopo della normativa sulla Privacy, non essendo necessaria,
per chi invia il messaggio, alcuna informazione circa il ricevente,
inclusi il numero di telefono, nominativo, etc. L'assenza di
riscontro circa la ricezione del messaggio, rafforza l'assenza di
qualunque violazione della privacy degli utenti.
E' comunque fatto divieto di utilizzare dati comunque ricavabili
dalla gestione del Servizio che non siano strettamente necessari per
il funzionamento dei Servizio stesso e per gli scopi previsti dalla
legge.