Le troppe falle nella cybersicurezza dei trasporti italiani

Immagine in evidenza rielaborata con IA

Quanto è difficile parlare di cybersicurezza con le aziende. E ciò vale anche per quelle dei trasporti: un settore in apparenza lontano dagli attacchi dei cracker, ma che mostra invece parecchie vulnerabilità oltre a un ampio potenziale di rischio. Provare ad affrontare il tema della sicurezza informatica con alcune delle più grandi realtà del paese produce come minimo un irrigidimento; nel peggiore dei casi, il silenzio. Mail senza risposta, telefoni che squillano a vuoto, repliche vaghe: quasi nessuno si presta a rispondere alle domande del cronista, e molti si eclissano dopo un primo contatto di prammatica.

La cybersicurezza delle autostrade italiane

Prendiamo Autostrade per l’Italia (ASPI), la stessa società che qualche anno fa (non molti: era il 2018) finì sotto la lente di ingrandimento per il caso del ponte Morandi, crollato a Genova a metà agosto. Un disastro che aveva sollevato interrogativi profondi sui sistemi di controllo e sulla cultura della sicurezza del gruppo. Ci si aspetterebbe che queste procedure, fisiche e cyber, siano diventate il fiore all’occhiello del gruppo. E che – stando così le cose – non sia un problema comunicarlo all’esterno. Sbagliato. Svariati tentativi di contatto via email sono caduti nel vuoto. Non va meglio al telefono, con l’apparecchio dell’ufficio stampa che squilla senza che nessuno risponda. Quando si attiva la segreteria, lo fa solo per rimandare al medesimo indirizzo di posta elettronica, che rimane muto. 

La società Movyon si definisce il “centro di eccellenza per la ricerca e innovazione del gruppo ASPI” e offre “soluzioni tecnologiche end-to-end per gestori di infrastrutture stradali e autostradali, pubbliche amministrazioni e service provider, supportandoli nella creazione di una mobilità più intelligente, accessibile, sostenibile e sicura a favore della comunità”. Il logo si trova, per esempio, sulle sbarre che si alzano e si abbassano ai caselli.

Sembra la porta giusta a cui bussare per parlare di cybersicurezza con ASPI. Del resto, la stessa Movyon sviluppa applicazioni tecnologicamente avanzate come quelle per il monitoraggio delle merci pericolose in viaggio sulla rete, il cosiddetto V2X (vehicle to everything): un sistema che, si legge nella presentazione, “monitora in tempo reale i veicoli che trasportano materiali pericolosi e avvisa i conducenti di eventuali situazioni di pericolo, come la presenza di altri veicoli con merci pericolose nelle vicinanze o situazioni anomale lungo la strada”. Il sistema non si limita al minimo indispensabile, ma, viene spiegato, arricchisce i messaggi con informazioni aggiuntive rispetto agli standard di settore. Lecito chiedersi: cosa succederebbe se venisse attaccato? 

Estendendo il discorso, ci sono altre domande da porsi. Cosa accadrebbe se qualcuno tentasse di azzerare tutti i pedaggi, rubare i dati delle carte di credito degli automobilisti, o cambiare i messaggi nei cartelli a led che puntellano la rete, magari consigliando di effettuare deviazioni non necessarie al solo scopo di creare il caos? È già accaduto in passato? Quali misure sono state prese? Chi è il responsabile della sicurezza? Domande la cui risposta possiamo soltanto immaginare, perché neanche Movyon ha risposto alla nostra richiesta di contatto.

Le Ferrovie dello Stato

Anche il trasporto ferroviario non è esente da rischi cyber. Che possono riguardare gli apparati di gestione elettronica della rete e dei convogli, ma anche il sistema dei pagamenti. Nel mese di novembre 2025 un attore malevolo ha rubato e diffuso online 2,3 terabyte di dati di Almaviva (un provider di servizi web) e Ferrovie dello Stato, che a esso si appoggiava. 

L’attacco è stato confermato dalla stessa Almaviva in una nota, dopo essere trapelato alla stampa. Secondo la rivendicazione dei cracker, il leak conterrebbe repository aziendali condivisi e documentazione tecnica riservata, inclusi contratti. Ma ci sarebbero anche dati personali dei passeggeri e dei dipendenti di quasi tutte le società del gruppo FS, da Mercitalia a Rete Ferroviaria Italiana, da Trenitalia a Italferr (da poco ribattezzata FS Engineering). 

“L’episodio che ci riguarda è riconducibile a un accesso non autorizzato che ha interessato un vecchio data center in dismissione della società Almaviva”, rispondono le Ferrovie dello Stato a una richiesta di informazioni da parte di Guerre di Rete. “L’attenzione è concentrata sull’accertamento tecnico dei fatti, sulla tutela delle informazioni e sulla piena collaborazione con Almaviva, società obiettivo dell’attacco, e le autorità competenti”. Le FS non forniscono ulteriori dettagli “per rispetto delle indagini”, ma aggiungono che sono in corso “attività di verifica tecnica e monitoraggio di tutti i nostri sistemi”. Almaviva, viene spiegato dalle Ferrovie, ha “informato anche gli organismi competenti per la protezione dei dati personali, mentre il Gruppo FS collabora per ciò che riguarda tutti i profili di propria competenza”.

Che provvedimenti sono stati presi? “Appena emersa la vicenda, il Gruppo FS, grazie alla sinergia tra FS Security e FS Technology e in coordinamento con Almaviva e con le autorità, ha attivato tutte le misure di sicurezza e mitigazione necessarie”, risponde la società. “Sono stati predisposti backup alternativi, rafforzate le attività di monitoraggio e continuità operativa e condivise le azioni da intraprendere con le strutture di Security del gruppo e con gli organismi di vigilanza competenti. Parallelamente, prosegue il monitoraggio del web e dei canali specializzati per intercettare tempestivamente eventuali pubblicazioni di materiali riconducibili all’attacco. Anche Almaviva ha dichiarato di aver isolato l’attacco, attivato il proprio team specializzato e garantito la continuità dei servizi critici”.

FS definisce “fondamentale” il presidio dell’intera filiera tecnologica – considerando che tutti i grandi gruppi si avvalgono di fornitori che possono essere “bucati” – e ammette che non è sufficiente monitorare i sistemi interni. “I fornitori e i partner tecnologici sono tenuti a rispettare requisiti stringenti sul piano della sicurezza informatica, della protezione dei dati, della continuità operativa e della gestione degli incidenti. Tali presidi sono definiti nell’ambito dei rapporti contrattuali, dei processi di qualifica e delle verifiche periodiche, con livelli di attenzione coerenti con la criticità dei servizi affidati”. L’errore è sempre possibile, ed è in queste lunghe catene di fornitura che provano a infilarsi i cattivi della rete. 

Il trasporto aereo

Già, il problema delle filiere. Sempre più complesse, e, per questo, sempre più vulnerabili.  Pensare a un attacco al sistema ferroviario può spaventare, ma immaginare che sia il sistema di controllo di un aeroplano a essere bucato scatena il terrore. Guerre di Rete ha provato a contattare Ita Airways, compagnia di bandiera (o forse non più: dipende dai punti di vista) italiana. Alla nostra richiesta di intervista, gli uffici hanno opposto un no-comment. Non è stato possibile, dunque, parlare con il CISO (chief internet security officer, cioè il capo della sicurezza informatica) né domandare che tipo di procedure di sicurezza, almeno a livello basilare, siano prese a tutela dei viaggiatori. 

Ma perché questa paura di parlare, quando si tratta di cybersecurity? A rispondere è l’ENAC, l’Ente nazionale per l’aviazione civile, che fa capo al governo ed è l’autorità che fissa le regole del settore in Italia basandosi su normative europee (come la NIS2) e nazionali. “La sicurezza, in generale, sta alle spalle dei processi operativi: per questo è prassi comune che non se ne parli, e che le misure prese non vengano condivise”, riflette l’ingegnere Sebastiano Veccia, a capo della sicurezza dell’ENAC. Nella sua interpretazione, “non è ritrosia, ma una forma di cultura di sicurezza: si fa, ma non si dice”. 

Resta il fatto che il pubblico ha domande sul rischio di volare, soprattutto in tempi di guerre asimmetriche che coinvolgono obiettivi non militari. Chiediamo se è possibile far cadere un aereo per mezzo di un attacco informatico. “Mi sento di escluderlo”, risponde Veccia. “Certo, un caso molto diverso come quello dell’11 settembre insegna che tutto è possibile, ma si tratta di una probabilità estremamente bassa”. È possibile invece inserirsi nei sistemi  di comunicazione con i piloti? “I sistemi di comunicazione tra l’aeromobile e la torre di controllo sono avanti anni luce”, risponde il dirigente. 

E se invece qualcuno riuscisse a infiltrarsi nelle ditte che producono gli aeroplani, e quindi anche il software che li governa, per inserire codice malevolo? In fondo gli incidenti del Boeing 737 Max paiono legati a sensori difettosi e software. “È il problema ben noto dei cosiddetti insider nell’industria. In Italia e in Europa, per le figure che entrano a contatto con aree e attività sensibili, viene richiesto alle forze di polizia un controllo dei precedenti penali del soggetto. Per ruoli di particolare criticità si richiede, in aggiunta, un background check rafforzato, che non si limita ai precedenti penali, ma guarda anche agli ambienti e alle compagnie che la persona frequenta”. Indagini di intelligence che servono a capire se il soggetto è radicalizzato, o vicino ad aree politiche pericolose. “La prevenzione si fa a monte, e lo stesso approccio degli aeroporti vale anche per i costruttori aeronautici e chi fa manutenzione degli aeromobili. Anche per chi è incaricato di caricare i dati sui pc di bordo c’è una procedura blindata”.

Veccia è consapevole che la sicurezza è un gioco tra guardie e ladri: l’inseguimento è costante. Si prova a isolare i dispositivi critici dal mondo esterno. “Le chiavette di manutenzione vengono controllate, sterilizzate e infine distrutte. Non solo: in aviazione le stesse attività di controllo si espletano in loco e non, come spesso accade oggi, da remoto. La programmazione degli interventi di sicurezza è importante, così come lo è preparare una matrice dei rischi: perché  il 90% delle emergenze è dovuto a cattiva pianificazione. Faccio comunque notare che energia nucleare e aeronautica sono sempre stati i due settori più controllati”. 

La visione di Veccia è confermata da una nostra fonte interna al settore. Che, al tavolo di un ristorante, racconta come “negli ultimi trent’anni non ci sono mai stati due incidenti aeronautici per lo stesso motivo, e questo perché ogni volta che ne accade uno lo si analizza nei dettagli e si corre ai ripari. Questo, in altri settori dove le procedure sono molto più lasse, viene preso per eccesso di pignoleria”. Un esempio è quello dei trasporti marittimi, con i porti che rappresentano la via di ingresso privilegiata per le merci che finiscono sugli scaffali, per il petrolio, ma anche per molto altro.

La sicurezza informatica dei porti

Sarebbe sbagliato sottovalutare l’importanza della cybersicurezza nei porti: quantità enormi di merci viaggiano via mare. Ma ci sono anche droga, armi, materiale illegale. E persone. Si comincia dai controlli all’ingresso per camion e autoveicoli. Entrare liberamente nell’area portuale significa avere una sorta di lasciapassare, utilissimo se si sa dove mettere le mani. Sistemi di controllo esistono, certo. Ma, come racconta la nostra fonte, le maglie sono larghe: “Quando si fanno le gare di appalto, per esempio per le telecamere da installare, solitamente si sceglie il prodotto che ha il prezzo più basso, che di norma è cinese. Queste telecamere possono avere delle backdoor, delle porte software nascoste che sono in grado di esfiltrare i dati e che cambiano a ogni aggiornamento. In sostanza, non controllando la tecnologia che usiamo potremmo offrire a un paese straniero la possibilità di fare intelligence sulle nostre informazioni”. Pechino è la principale indagata. 

Ma c’è di più. L’andirivieni di un porto è basato su un sistema di riconoscimento delle targhe automobilistiche: camion di autotrasportatori noti trovano porte aperte e sbarre alzate ai varchi. I controlli sono a campione. Facile capire come, con un attacco mirato, sia facile far entrare anche chi non sarebbe autorizzato. Basta inserire una targa in più nel gestionale e il gioco è fatto. Le procedure manuali sarebbero più efficaci, ma sono troppo lente per i volumi di traffico dei grandi hub. Senza considerare che gli spazi sulle banchine sono affittati e gestiti tramite un software gestionale estremamente complesso, che sa esattamente chi e dove farà cosa con mesi di anticipo: anche in questo caso, un cybercriminale che riuscisse a entrare nel sistema potrebbe creare il caos operativo, paralizzando le attività. Guerre di Rete ha contattato il porto di Gioia Tauro, principale scalo merci italiano: nessuna risposta, neanche dopo svariati tentativi telefonici e via mail. Ha risposto, invece, l’autorità portuale di Genova. 

“In merito alla richiesta pervenutaci, siamo nella necessità di non poter aderire all’iniziativa proposta”, afferma la replica pervenuta tramite posta elettronica. “La cybersecurity costituisce un ambito di particolare sensibilità per le infrastrutture critiche nazionali, categoria alla quale i sistemi portuali appartengono a pieno titolo. La normativa vigente in materia, unitamente alle linee guida emanate dall’Agenzia per la Cybersicurezza Nazionale (ACN), raccomanda la massima prudenza nella comunicazione pubblica relativa a sistemi, procedure e strategie di protezione informatica. La policy dell’Ente prevede pertanto di non rilasciare interviste su tali tematiche al di fuori dei canali istituzionali preposti”. Insomma, nulla da dichiarare. 

s

Il breve viaggio intrapreso offre un quadro allarmante. E le contromisure non possono essere solo tecniche. Veccia, dirigente dell’ENAC, sottolinea quanto la cultura aziendale giochi un ruolo centrale: “La formazione del personale è importante. C’è ancora chi lascia le proprie password attaccate al PC con dei post-it. Per questo va ribadito: anche se fare corsi può sembrare noioso ai dipendenti, quest’attività si rivela utile quando ci si trova di fronte a un caso sospetto, e si torna con la mente alle lezioni in aula per sapere come reagire”. 

Ci sono anche altre questioni, più difficili da affrontare. Come spiega la nostra fonte, “molte delle soluzioni di cybersecurity nel nostro paese vengono vendute dallo stesso gruppo di persone, poche decine di soggetti che si conoscono tra loro e che possono essere avvicinati senza grossi problemi da chi è dotato di argomenti convincenti, e di una certa disponibilità economica”. Accade di continuo, spiega. Ma questo è un tema per un altro giorno.

L'articolo Le troppe falle nella cybersicurezza dei trasporti italiani proviene da Guerre di Rete.