Le troppe falle nella cybersicurezza dei trasporti italiani
Immagine in evidenza rielaborata con IA
Quanto è difficile parlare di cybersicurezza con le aziende. E ciò vale anche
per quelle dei trasporti: un settore in apparenza lontano dagli attacchi dei
cracker, ma che mostra invece parecchie vulnerabilità oltre a un ampio
potenziale di rischio. Provare ad affrontare il tema della sicurezza informatica
con alcune delle più grandi realtà del paese produce come minimo un
irrigidimento; nel peggiore dei casi, il silenzio. Mail senza risposta, telefoni
che squillano a vuoto, repliche vaghe: quasi nessuno si presta a rispondere alle
domande del cronista, e molti si eclissano dopo un primo contatto di prammatica.
LA CYBERSICUREZZA DELLE AUTOSTRADE ITALIANE
Prendiamo Autostrade per l’Italia (ASPI), la stessa società che qualche anno fa
(non molti: era il 2018) finì sotto la lente di ingrandimento per il caso del
ponte Morandi, crollato a Genova a metà agosto. Un disastro che aveva sollevato
interrogativi profondi sui sistemi di controllo e sulla cultura della sicurezza
del gruppo. Ci si aspetterebbe che queste procedure, fisiche e cyber, siano
diventate il fiore all’occhiello del gruppo. E che – stando così le cose – non
sia un problema comunicarlo all’esterno. Sbagliato. Svariati tentativi di
contatto via email sono caduti nel vuoto. Non va meglio al telefono, con
l’apparecchio dell’ufficio stampa che squilla senza che nessuno risponda. Quando
si attiva la segreteria, lo fa solo per rimandare al medesimo indirizzo di posta
elettronica, che rimane muto.
La società Movyon si definisce il “centro di eccellenza per la ricerca e
innovazione del gruppo ASPI” e offre “soluzioni tecnologiche end-to-end per
gestori di infrastrutture stradali e autostradali, pubbliche amministrazioni e
service provider, supportandoli nella creazione di una mobilità più
intelligente, accessibile, sostenibile e sicura a favore della comunità”. Il
logo si trova, per esempio, sulle sbarre che si alzano e si abbassano ai
caselli.
Sembra la porta giusta a cui bussare per parlare di cybersicurezza con ASPI. Del
resto, la stessa Movyon sviluppa applicazioni tecnologicamente avanzate come
quelle per il monitoraggio delle merci pericolose in viaggio sulla rete, il
cosiddetto V2X (vehicle to everything): un sistema che, si legge nella
presentazione, “monitora in tempo reale i veicoli che trasportano materiali
pericolosi e avvisa i conducenti di eventuali situazioni di pericolo, come la
presenza di altri veicoli con merci pericolose nelle vicinanze o situazioni
anomale lungo la strada”. Il sistema non si limita al minimo indispensabile, ma,
viene spiegato, arricchisce i messaggi con informazioni aggiuntive rispetto agli
standard di settore. Lecito chiedersi: cosa succederebbe se venisse attaccato?
Estendendo il discorso, ci sono altre domande da porsi. Cosa accadrebbe se
qualcuno tentasse di azzerare tutti i pedaggi, rubare i dati delle carte di
credito degli automobilisti, o cambiare i messaggi nei cartelli a led che
puntellano la rete, magari consigliando di effettuare deviazioni non necessarie
al solo scopo di creare il caos? È già accaduto in passato? Quali misure sono
state prese? Chi è il responsabile della sicurezza? Domande la cui risposta
possiamo soltanto immaginare, perché neanche Movyon ha risposto alla nostra
richiesta di contatto.
LE FERROVIE DELLO STATO
Anche il trasporto ferroviario non è esente da rischi cyber. Che possono
riguardare gli apparati di gestione elettronica della rete e dei convogli, ma
anche il sistema dei pagamenti. Nel mese di novembre 2025 un attore malevolo ha
rubato e diffuso online 2,3 terabyte di dati di Almaviva (un provider di servizi
web) e Ferrovie dello Stato, che a esso si appoggiava.
L’attacco è stato confermato dalla stessa Almaviva in una nota, dopo essere
trapelato alla stampa. Secondo la rivendicazione dei cracker, il leak
conterrebbe repository aziendali condivisi e documentazione tecnica riservata,
inclusi contratti. Ma ci sarebbero anche dati personali dei passeggeri e dei
dipendenti di quasi tutte le società del gruppo FS, da Mercitalia a Rete
Ferroviaria Italiana, da Trenitalia a Italferr (da poco ribattezzata FS
Engineering).
“L’episodio che ci riguarda è riconducibile a un accesso non autorizzato che ha
interessato un vecchio data center in dismissione della società Almaviva”,
rispondono le Ferrovie dello Stato a una richiesta di informazioni da parte di
Guerre di Rete. “L’attenzione è concentrata sull’accertamento tecnico dei fatti,
sulla tutela delle informazioni e sulla piena collaborazione con Almaviva,
società obiettivo dell’attacco, e le autorità competenti”. Le FS non forniscono
ulteriori dettagli “per rispetto delle indagini”, ma aggiungono che sono in
corso “attività di verifica tecnica e monitoraggio di tutti i nostri sistemi”.
Almaviva, viene spiegato dalle Ferrovie, ha “informato anche gli organismi
competenti per la protezione dei dati personali, mentre il Gruppo FS collabora
per ciò che riguarda tutti i profili di propria competenza”.
Che provvedimenti sono stati presi? “Appena emersa la vicenda, il Gruppo FS,
grazie alla sinergia tra FS Security e FS Technology e in coordinamento con
Almaviva e con le autorità, ha attivato tutte le misure di sicurezza e
mitigazione necessarie”, risponde la società. “Sono stati predisposti backup
alternativi, rafforzate le attività di monitoraggio e continuità operativa e
condivise le azioni da intraprendere con le strutture di Security del gruppo e
con gli organismi di vigilanza competenti. Parallelamente, prosegue il
monitoraggio del web e dei canali specializzati per intercettare tempestivamente
eventuali pubblicazioni di materiali riconducibili all’attacco. Anche Almaviva
ha dichiarato di aver isolato l’attacco, attivato il proprio team specializzato
e garantito la continuità dei servizi critici”.
FS definisce “fondamentale” il presidio dell’intera filiera tecnologica –
considerando che tutti i grandi gruppi si avvalgono di fornitori che possono
essere “bucati” – e ammette che non è sufficiente monitorare i sistemi interni.
“I fornitori e i partner tecnologici sono tenuti a rispettare requisiti
stringenti sul piano della sicurezza informatica, della protezione dei dati,
della continuità operativa e della gestione degli incidenti. Tali presidi sono
definiti nell’ambito dei rapporti contrattuali, dei processi di qualifica e
delle verifiche periodiche, con livelli di attenzione coerenti con la criticità
dei servizi affidati”. L’errore è sempre possibile, ed è in queste lunghe catene
di fornitura che provano a infilarsi i cattivi della rete.
IL TRASPORTO AEREO
Già, il problema delle filiere. Sempre più complesse, e, per questo, sempre più
vulnerabili. Pensare a un attacco al sistema ferroviario può spaventare, ma
immaginare che sia il sistema di controllo di un aeroplano a essere bucato
scatena il terrore. Guerre di Rete ha provato a contattare Ita Airways,
compagnia di bandiera (o forse non più: dipende dai punti di vista) italiana.
Alla nostra richiesta di intervista, gli uffici hanno opposto un no-comment. Non
è stato possibile, dunque, parlare con il CISO (chief internet security officer,
cioè il capo della sicurezza informatica) né domandare che tipo di procedure di
sicurezza, almeno a livello basilare, siano prese a tutela dei viaggiatori.
Ma perché questa paura di parlare, quando si tratta di cybersecurity? A
rispondere è l’ENAC, l’Ente nazionale per l’aviazione civile, che fa capo al
governo ed è l’autorità che fissa le regole del settore in Italia basandosi su
normative europee (come la NIS2) e nazionali. “La sicurezza, in generale, sta
alle spalle dei processi operativi: per questo è prassi comune che non se ne
parli, e che le misure prese non vengano condivise”, riflette l’ingegnere
Sebastiano Veccia, a capo della sicurezza dell’ENAC. Nella sua interpretazione,
“non è ritrosia, ma una forma di cultura di sicurezza: si fa, ma non si dice”.
Resta il fatto che il pubblico ha domande sul rischio di volare, soprattutto in
tempi di guerre asimmetriche che coinvolgono obiettivi non militari. Chiediamo
se è possibile far cadere un aereo per mezzo di un attacco informatico. “Mi
sento di escluderlo”, risponde Veccia. “Certo, un caso molto diverso come quello
dell’11 settembre insegna che tutto è possibile, ma si tratta di una probabilità
estremamente bassa”. È possibile invece inserirsi nei sistemi di comunicazione
con i piloti? “I sistemi di comunicazione tra l’aeromobile e la torre di
controllo sono avanti anni luce”, risponde il dirigente.
E se invece qualcuno riuscisse a infiltrarsi nelle ditte che producono gli
aeroplani, e quindi anche il software che li governa, per inserire codice
malevolo? In fondo gli incidenti del Boeing 737 Max paiono legati a sensori
difettosi e software. “È il problema ben noto dei cosiddetti insider
nell’industria. In Italia e in Europa, per le figure che entrano a contatto con
aree e attività sensibili, viene richiesto alle forze di polizia un controllo
dei precedenti penali del soggetto. Per ruoli di particolare criticità si
richiede, in aggiunta, un background check rafforzato, che non si limita ai
precedenti penali, ma guarda anche agli ambienti e alle compagnie che la persona
frequenta”. Indagini di intelligence che servono a capire se il soggetto è
radicalizzato, o vicino ad aree politiche pericolose. “La prevenzione si fa a
monte, e lo stesso approccio degli aeroporti vale anche per i costruttori
aeronautici e chi fa manutenzione degli aeromobili. Anche per chi è incaricato
di caricare i dati sui pc di bordo c’è una procedura blindata”.
Veccia è consapevole che la sicurezza è un gioco tra guardie e ladri:
l’inseguimento è costante. Si prova a isolare i dispositivi critici dal mondo
esterno. “Le chiavette di manutenzione vengono controllate, sterilizzate e
infine distrutte. Non solo: in aviazione le stesse attività di controllo si
espletano in loco e non, come spesso accade oggi, da remoto. La programmazione
degli interventi di sicurezza è importante, così come lo è preparare una matrice
dei rischi: perché il 90% delle emergenze è dovuto a cattiva pianificazione.
Faccio comunque notare che energia nucleare e aeronautica sono sempre stati i
due settori più controllati”.
La visione di Veccia è confermata da una nostra fonte interna al settore. Che,
al tavolo di un ristorante, racconta come “negli ultimi trent’anni non ci sono
mai stati due incidenti aeronautici per lo stesso motivo, e questo perché ogni
volta che ne accade uno lo si analizza nei dettagli e si corre ai ripari.
Questo, in altri settori dove le procedure sono molto più lasse, viene preso per
eccesso di pignoleria”. Un esempio è quello dei trasporti marittimi, con i porti
che rappresentano la via di ingresso privilegiata per le merci che finiscono
sugli scaffali, per il petrolio, ma anche per molto altro.
LA SICUREZZA INFORMATICA DEI PORTI
Sarebbe sbagliato sottovalutare l’importanza della cybersicurezza nei porti:
quantità enormi di merci viaggiano via mare. Ma ci sono anche droga, armi,
materiale illegale. E persone. Si comincia dai controlli all’ingresso per camion
e autoveicoli. Entrare liberamente nell’area portuale significa avere una sorta
di lasciapassare, utilissimo se si sa dove mettere le mani. Sistemi di controllo
esistono, certo. Ma, come racconta la nostra fonte, le maglie sono larghe:
“Quando si fanno le gare di appalto, per esempio per le telecamere da
installare, solitamente si sceglie il prodotto che ha il prezzo più basso, che
di norma è cinese. Queste telecamere possono avere delle backdoor, delle porte
software nascoste che sono in grado di esfiltrare i dati e che cambiano a ogni
aggiornamento. In sostanza, non controllando la tecnologia che usiamo potremmo
offrire a un paese straniero la possibilità di fare intelligence sulle nostre
informazioni”. Pechino è la principale indagata.
Ma c’è di più. L’andirivieni di un porto è basato su un sistema di
riconoscimento delle targhe automobilistiche: camion di autotrasportatori noti
trovano porte aperte e sbarre alzate ai varchi. I controlli sono a campione.
Facile capire come, con un attacco mirato, sia facile far entrare anche chi non
sarebbe autorizzato. Basta inserire una targa in più nel gestionale e il gioco è
fatto. Le procedure manuali sarebbero più efficaci, ma sono troppo lente per i
volumi di traffico dei grandi hub. Senza considerare che gli spazi sulle
banchine sono affittati e gestiti tramite un software gestionale estremamente
complesso, che sa esattamente chi e dove farà cosa con mesi di anticipo: anche
in questo caso, un cybercriminale che riuscisse a entrare nel sistema potrebbe
creare il caos operativo, paralizzando le attività. Guerre di Rete ha contattato
il porto di Gioia Tauro, principale scalo merci italiano: nessuna risposta,
neanche dopo svariati tentativi telefonici e via mail. Ha risposto, invece,
l’autorità portuale di Genova.
“In merito alla richiesta pervenutaci, siamo nella necessità di non poter
aderire all’iniziativa proposta”, afferma la replica pervenuta tramite posta
elettronica. “La cybersecurity costituisce un ambito di particolare sensibilità
per le infrastrutture critiche nazionali, categoria alla quale i sistemi
portuali appartengono a pieno titolo. La normativa vigente in materia,
unitamente alle linee guida emanate dall’Agenzia per la Cybersicurezza Nazionale
(ACN), raccomanda la massima prudenza nella comunicazione pubblica relativa a
sistemi, procedure e strategie di protezione informatica. La policy dell’Ente
prevede pertanto di non rilasciare interviste su tali tematiche al di fuori dei
canali istituzionali preposti”. Insomma, nulla da dichiarare.
S
Il breve viaggio intrapreso offre un quadro allarmante. E le contromisure non
possono essere solo tecniche. Veccia, dirigente dell’ENAC, sottolinea quanto la
cultura aziendale giochi un ruolo centrale: “La formazione del personale è
importante. C’è ancora chi lascia le proprie password attaccate al PC con dei
post-it. Per questo va ribadito: anche se fare corsi può sembrare noioso ai
dipendenti, quest’attività si rivela utile quando ci si trova di fronte a un
caso sospetto, e si torna con la mente alle lezioni in aula per sapere come
reagire”.
Ci sono anche altre questioni, più difficili da affrontare. Come spiega la
nostra fonte, “molte delle soluzioni di cybersecurity nel nostro paese vengono
vendute dallo stesso gruppo di persone, poche decine di soggetti che si
conoscono tra loro e che possono essere avvicinati senza grossi problemi da chi
è dotato di argomenti convincenti, e di una certa disponibilità economica”.
Accade di continuo, spiega. Ma questo è un tema per un altro giorno.
L'articolo Le troppe falle nella cybersicurezza dei trasporti italiani proviene
da Guerre di Rete.