Il settore dei trasporti è sempre più vittima di attacchi hacker

Nel 2020 gli incidenti di cybersecurity occorsi al settore dei trasporti sono stati una dozzina. Nel 2024 il numero è salito a circa sessanta. Questo è il messaggio che inaugura il rapporto “Cybersecurity nel settore trasporti – Analisi delle minacce e delle vulnerabilità”, curato dalla Business unit di Maticmind, azienda attiva nelle soluzioni ICT e nella cybersecurity con sede a Milano.

In cinque anni i casi si sono quintuplicati, con un tasso di crescita medio del 48% anno su anno. La digitalizzazione del settore dei trasporti, quindi l’intervento delle Intelligenze artificiali (IA), dell’Internet of Things (IoT) e della connettività 5G ampliano le superfici d’attacco a vantaggio di gruppi di cyber criminali molto bravi a sfruttarne vulnerabilità e debolezze intrinseche, dirigendo attacchi sempre più sofisticati che esigono capacità di difesa altrettanto evolute.

È una dicotomia: la tecnologia aumenta l’efficienza dei trasporti e contemporaneamente li rende più fragili. È evidente che occorrano maggiori resilienza e robustezza affinché le minacce vengano sventate prima che diventino incidenti di sicurezza veri e propri e ci siano piano di risposta rodati e rapidi per ripristinare la situazione laddove i criminal hacker avessero portato a termine con successo le rispettive offensive.

La situazione in Italia

La situazione in Italia appare più grave che altrove. Un quarto circa degli incidenti cyber censiti sul piano globale ha avuto come obiettivo aziende italiane. Nel corso del 2024 il comparto nostrano della logistica e dei trasporti ha catalizzato il 7,3% di tutti gli attacchi e, inoltre, ha fatto registrare un aumento degli episodi laddove, nel resto del mondo, si sia misurato un calo medio del 7%.

Ne risulta un quadro nel quale l’Italia paga lo scotto di essere vulnerabile e appetibile (e anche appetibile perché particolarmente vulnerabile). Il gruppo russo Noname57 – molto attivo alle nostre latitudini - incarna bene lo stampo geopolitico di molti attacchi, sempre più spesso orchestrati nel nome e dietro lo scudo di Stati canaglia.

Le minacce più diffuse

A farla da padrone nella logistica come in quasi tutti gli altri comparti sono i ransomware, le campagne di phishing e gli attacchi Distributed Denial of Service (DDoS). Questi ultimi fanno convergere una quantità di richieste maggiore di quelle che server e infrastrutture critiche possono sopportare, causandone il rallentamento o il blocco. Vale per i siti web ma anche per server esposti su Internet che gestiscono sensori, software di controllo e qualsiasi tipologia di traffico di dati. Per risalire all’episodio più recente non serve un grande esercizio di memoria, è sufficiente ritornare allo scorso mese di febbraio, quando il cyber crimine ha messo in difficoltà diverse infrastrutture italiane, tra le quali gli aeroporti di Malpensa e Milano, il porto di Taranto e quello di Trieste.

Phishing e ransomware sono invece strettamente collegati. Con una campagna di phishing i cyber criminali ingannano gli utenti affinché compiano un’operazione dannosa, quale prelevare un file malevolo o cedere informazioni sensibili. Non di rado il phishing diventa il veicolo attraverso il quale vengono diffusi ransomware all’interno di infrastrutture aziendali, ossia virus che cifrano i file affinché siano inutilizzabili fino al momento in cui, pagando il riscatto, l’azienda vittima entra in possesso delle chiavi necessarie a riguadagnare l’usabilità dei dati.

I costi degli incidenti cyber

Il costo medio di un incidente cyber nel sottosettore aereo supera i 580mila euro. Nel trasporto su rotaia si avvicina ai 420mila euro.

Un incidente nel sotto-comparto marittimo sfiora i 320mila euro e nel trasporto stradale raggiunge i 180mila euro.

Quello dei costi è un argomento difficile da misurare perché, al di là della mancata operatività aziendale e dell’eventuale pagamento di un riscatto, c’è un danno reputazionale che può essere valutato soltanto nel medio periodo. Credere che il costo di un cyber incidente sia quello relativo all’incidente in sé è fuorviante.

Gli investimenti in cybersecurity

Il settore dei trasporti investe più di ogni altro comparto in Italia. Nel 2020 gli investimenti erano fermi a 45 milioni di euro per arrivare a 125 milioni di euro nel 2025, con un tasso di crescita medio del 27,5% annuo.

Nel corso del 2024, il settore della logistica e dei trasporti ha fatto segnare una spesa in crescita del 25%, ben oltre la media nazionale del 15%.

Segnali incoraggianti che non bastano. Infatti, gli investimenti in Italia in rapporto al Pil sono al di sotto della media europea. Restando nell’ambito dei trasporti, la media europea degli investimenti si assesta all’1,5%, mentre in Italia la percentuale scende a 0,14.

Non di meno, entrando nel dettaglio, risulta che il trasporto aereo in Italia è autore del 35% degli investimenti totali, a seguire il sottosettore ferroviario (30%), quello marittimo (20%) e poi quello stradale (15%). Al di là delle percentuali, è proprio il trasporto su ruota ad avere aumentato di più gli investimenti in cybersecurity.

Questi numeri sono da intendere come parziali: l’aumento degli investimenti è un segnale positivo ma non esaustivo. I criminal hacker diventano sempre più efficienti e subdoli, intensificando gli attacchi sia per numero sia per raffinatezza.

Se la spesa in cybersecurity è di vitale importanza, non va sottovalutata la diffusione dell’opportuna cyber cultura tra dipendenti e collaboratori delle imprese di tutta la supply chain di ogni comparto economico.

L’Italia è ancora indietro rispetto all’Europa. Su una scala da 1 a 10 la maturità cyber delle imprese italiane del trasporto marittimo si assesta a 5,2 e quella del trasporto stradale a 4,2. I valori medi Ue sono invece 6,8 per il trasporto navale e di 5,9 per quello su ruota.

La direttiva NIS2

A fare da accelerante agli investimenti è intervenuta anche la Network and Information Security Directive 2 (NIS2), la seconda versione della direttiva europea sulla sicurezza delle reti e dei sistemi informativi che gli Stati Ue hanno dovuto recepire entro il mese di ottobre del 2024.

La NIS2 si applica a tutti i settori strategici pubblici e privati, imponendo regole per la gestione del rischio, requisiti minimi di sicurezza e l’obbligo di segnalare gli incidenti alle competenti autorità.

La NIS2 è stata recepita dall’Italia con il decreto legislativo 138/2024 entrato in vigore il 16 ottobre 2024 stabilendo, tra le altre cose, che anche per il settore logistico e dei trasporti l’autorità competente è l’Agenzia per la Cybersicurezza nazionale (ACN) a cui le imprese del settore si sono dovute annunciare entro la fine del mese di febbraio del 2025.

E sono proprio i dati di conformità alla NIS2 che mostrano il volto scoperto della logistica e dei trasporti marchiati dal tricolore: è conforme alla direttiva il 42% del trasporto aereo, il 35% di quello ferroviario e il 28% di quello marittimo.

Fanalino di coda il trasporto stradale che ha un tasso di conformità del 20% e detiene la più alta percentuale di aziende che non hanno ancora cominciato il percorso di adeguamento alla NIS2.

Non si tratta soltanto di logistica e trasporti

Una cyber cultura insufficiente è un fiume in piena e straripa dagli argini di uno o dell’altro settore economico di un Paese.

Per spiegare meglio questo aspetto usciamo per un attimo dalla logistica e torniamo al mese di gennaio del 2025 spostandoci a Bentivoglio (Bologna), dove l’azienda meccanica Marposs, vittima di un attacco hacker, parte della propria forza lavoro. Questo significa che le ricadute del cyber crimine investono l’economia reale e minano l’immagine di uno Stato anche nei rapporti con i paesi esteri.

Esaminiamo queste ricadute con Pierguido Iezzi, Cyber director di Maticmind, cominciando dai trasporti per allargare le maglie al contesto sociopolitico ed economico.

Perché il settore dei trasporti è diventato allettante per i criminal hacker? Siamo abituati ad avere a che fare con attacchi alla sanità, alle infrastrutture strategiche, al mondo della finanza e alla Pubblica amministrazione…

“Il settore dei trasporti è diventato uno dei bersagli più allettanti per i criminal hacker perché oggi la mobilità non solo rimane il cuore pulsante della società e dell’economia, ma è anche sempre più digitale. Stiamo entrando in un’era in cui ogni veicolo, nodo logistico e infrastruttura di trasporto è connessa in tempo reale, generando enormi volumi di dati e richiedendo un’integrazione costante tra tecnologie operative e sistemi informativi. In questo scenario, un attacco informatico non colpisce più solo database astratti ma diventa un’arma per fermare camion, bloccare un treno, interrompere le operazioni in un aeroporto o paralizzare la logistica di un porto.

La digitalizzazione spinta, unita all’adozione crescente di sistemi IoT e 5G, ha ampliato esponenzialmente la superficie d’attacco a disposizione dei cybercriminali, che sfruttano vulnerabilità non solo per rubare dati, ma anche per ottenere un impatto diretto sul funzionamento fisico dei trasporti.

Basti pensare a un ransomware che blocca i sistemi di tracking delle spedizioni, o a un attacco di phishing che consente di sottrarre le credenziali di accesso ai sistemi di gestione del traffico aereo. Queste azioni possono trasformarsi in ritardi, interruzioni, mancate consegne e in perdita di fiducia da parte degli utenti e dei partner commerciali.

A questo va sommata la complessità delle catene logistiche, composte da migliaia di fornitori e subfornitori con livelli di sicurezza eterogenei: si genera un’entropia con molteplicità di punti deboli. I criminal hacker conoscono bene queste debolezze e le sfruttano per entrare attraverso fornitori terzi meno protetti, utilizzando tecniche di social engineering sempre più raffinate.

D’altronde, non va sottovalutato un aspetto: la criminalità organizzata e gli attori statuali ostili vedono nei trasporti una leva strategica per esercitare pressione su Paesi e governi. Fermare un aeroporto o un porto significa colpire il cuore della logistica di un Paese e, in casi estremi, creare tensione sociale e rallentare interi settori produttivi. È per queste ragioni che il settore dei trasporti, pur essendo storicamente considerato secondario rispetto ad ambiti come la finanza o la sanità, è oggi diventato uno dei bersagli più appetibili per attori malevoli, che possono ottenere ritorni economici immediati o perseguire obiettivi geopolitici in un contesto globale segnato da tensioni crescenti.

Senza rumore, c’è stata una convergenza da cinetico a digitale dell’intero comparto, il sistema nervoso di ogni economia e società. Va da sé che colpirlo è diventato estremamente lucrativo per il criminale e strategico per attori statali”.

Quali sono le implicazioni per la competitività economica e per la sicurezza nazionale italiana?

“Ogni attacco informatico che colpisce questo settore ha un effetto che si riverbera a catena su tutte le componenti produttive del Paese. Se un aeroporto subisce un attacco ransomware che blocca i sistemi di check-in o di gestione bagagli, se un porto viene paralizzato da un’intrusione nei sistemi operativi delle gru o del tracking dei container, se un’infrastruttura ferroviaria subisce un attacco che compromette la gestione del traffico o della segnaletica, l’intero tessuto economico nazionale subisce un danno diretto e indiretto, con ritardi, mancate consegne, disservizi e perdita di fiducia. Le implicazioni sono molteplici e toccano anche la sicurezza nazionale, poiché le infrastrutture di trasporto sono spesso utilizzate come strumenti di pressione geopolitica.

Un attacco cyber può diventare un’azione ibrida in grado di destabilizzare l’economia di un Paese e generare tensioni sociali, specialmente in un momento storico in cui le tensioni internazionali si riflettono sempre più spesso nel cyberspazio.

Sul piano della competitività, l’Italia registra ancora un ritardo negli investimenti in cybersecurity rispetto alla media europea, con gap significativi in termini di maturità delle difese, soprattutto nel settore marittimo e stradale. Questo ritardo, in un contesto in cui la compliance normativa con la NIS2 diventa obbligatoria, rischia di penalizzare le imprese italiane sia sul piano delle sanzioni sia sul piano della fiducia dei partner internazionali, che potrebbero preferire fornitori operanti in ecosistemi percepiti come più sicuri.

In questo contesto, la cyber convergence promossa dalla NIS2 segna un cambio di paradigma: la normativa spinge le imprese italiane a integrare realmente sicurezza IT e OT (Operational Technology, ovvero macchinari, sensori, automazione, ndr) portando la cybersicurezza dal perimetro tecnico alla governance strategica.

Questo significa adottare un approccio alla resilienza che non si limita a soddisfare un requisito di legge, ma diventa leva per ridurre i rischi operativi, proteggere la supply chain e garantire la continuità dei servizi anche in scenari di crisi. La convergenza cyber spinta dalla NIS2 permette alle imprese di trasformare la compliance in un’occasione per innovare processi e infrastrutture, aumentare la fiducia degli stakeholder e rafforzare la competitività del Paese in un’epoca in cui la sicurezza digitale è sicurezza nazionale.

Un’infrastruttura di trasporto resiliente sul piano cyber non è solo una questione di protezione dai rischi, ma anche un fattore di competitività per attrarre investimenti e partnership, garantire la continuità operativa e preservare la reputazione del Paese. In caso contrario, i danni economici derivanti da attacchi cyber possono crescere in modo esponenziale, incidendo su costi assicurativi, riducendo la produttività e generando perdite in termini di quote di mercato. In uno scenario di mobilità sempre più intelligente e connessa, investire in cybersecurity significa proteggere un settore che rappresenta non solo un asset economico, ma anche un pilastro della sicurezza nazionale e della credibilità dell’Italia nel contesto europeo e internazionale”.

Quali sono gli scenari futuri plausibili, considerando le tensioni geopolitiche, se le imprese italiane non adotteranno una postura cyber più pertinente?

“Se le imprese italiane del settore trasporti non adotteranno una postura cyber più pertinente e proattiva, il Paese rischia di entrare in una fase in cui gli attacchi informatici diventeranno un elemento di instabilità cronica per la mobilità e per la logistica, incidendo direttamente sulla quotidianità dei cittadini e sulla continuità operativa delle imprese. Uno scenario plausibile prevede un aumento della frequenza e della severità degli attacchi ransomware, che potrebbero colpire infrastrutture ferroviarie, aeroporti e porti, con conseguenze dirette sui flussi di merci e persone. Le interruzioni di servizio non saranno più eventi isolati, ma rischieranno di diventare una costante che metterà a dura prova la capacità del Paese di reagire e garantire la mobilità su cui si fonda l’economia.

Come se non bastasse, un’assenza di posture cyber adeguate potrebbe portare a una crescita dei costi assicurativi e a un incremento delle sanzioni legate alla non conformità normativa, con impatti diretti sulla sostenibilità finanziaria delle imprese del settore. In un contesto internazionale in cui le tensioni geopolitiche si riversano sempre più frequentemente sul cyberspazio, il settore dei trasporti italiano potrebbe diventare un bersaglio privilegiato per attori ostili che mirano a destabilizzare economie e società attraverso attacchi informatici mirati, sfruttando le vulnerabilità della supply chain e la dipendenza dalle tecnologie digitali.

Gli effetti non si limiterebbero al breve termine: un Paese percepito come poco sicuro dal punto di vista cyber rischia di perdere competitività anche a livello industriale e commerciale, vedendo compromesse le relazioni con partner esteri e subendo una progressiva erosione della fiducia da parte di cittadini e stakeholder. Non va dimenticato che la mobilità è uno dei pilastri dell’economia italiana, sia per il turismo sia per le esportazioni, e che ogni disservizio causato da un attacco cyber ha un effetto moltiplicatore su settori come l’agroalimentare, la manifattura, il commercio e i servizi.

In uno scenario di mobilità intelligente e di infrastrutture connesse, non rafforzare la postura cyber significa non solo accettare il rischio di fermi operativi e perdite economiche, ma anche rinunciare a trasformare la compliance normativa in un’opportunità di innovazione. Una postura cyber pertinente consente invece di integrare la resilienza nella strategia industriale, proteggere la continuità dei servizi e preservare la reputazione del Paese in un contesto globale dove la cybersecurity è ormai parte integrante della sicurezza fisica delle persone e delle economie”, conclude Iezzi.