I veicoli automatizzati e connessi (CAV) non sono più solo meccanica: sono software, cloud e aggiornamenti remoti. Questa architettura moltiplica la superficie di attacco cyber. Una valutazione coordinata nell’UE dal NIS Cooperation Group, insieme alla Commissione europea e all’ENISA, identifica 107 rischi, 14 dei quali considerati “critici” per il loro potenziale impatto sulla sicurezza fisica e sulla continuità del servizio.
Il NIS Cooperation Group (Network and Information Systems) dell’UE ha pubblicato una valutazione coordinata dei rischi di sicurezza dei veicoli connessi e automatizzati (CAV) e delle loro supply chain, ai sensi dell’art. 22 della Direttiva NIS2. Sono stati identificati 107 scenari di rischio, di cui 14 classificati come “top risks” con impatto critico e probabilità media, capaci di generare perdite di vite umane, danni materiali rilevanti e fuga di dati altamente sensibili. Il rischio cyber dei CAV non è solo “tecnico”, ma potenzialmente sistemico, con possibilità di eventi catastrofici che colpiscono simultaneamente flotte e infrastrutture.
I CAV si stanno diffondendo rapidamente in Europa, spinti da digitalizzazione, connettività e transizione verso il veicolo elettrico e a zero emissioni entro il 2035. Il report individua come asset critici:
sistemi di controllo del veicolo (ECU, powertrain, freni, batterie);
sistemi di elaborazione e decisione (ADAS/ADS, AI di percezione e pianificazione);
sistemi di comunicazione e connettività (V2X, 5G, OTA);
sistemi cloud e backend;
infrastrutture di ricarica;
fornitori “high‑risk” nella supply chain ICT.
Sono documentati incidenti e prove di laboratorio che dimostrano:
presa di controllo remota di funzioni vitali (sterzo, freni, trasmissione) via vulnerabilità di infotainment, app, Wi‑Fi o backend;
attacchi a batterie e sistemi di ricarica in grado di generare sovraccarichi, degrado accelerato, rischio d’incendio e impatti sulla rete elettrica;
manipolazioni di sensori e sistemi di percezione (spoofing LiDAR, “phantom attacks” su telecamere) con potenziali impatti sulla sicurezza stradale;
compromissioni di sistemi cloud e app che consentono apertura porte, avviamento, localizzazione e disabilitazione remota dei veicoli con il solo numero di targa.
La valutazione conclude che gran parte dei rischi “tecnici” è coperta, almeno sulla carta, dal quadro di omologazione UE (UN R155, UN R156, Reg. 2018/858, Reg. 2019/2144), che impone un Cybersecurity Management System (CSMS) e un Software Update Management System (SUMS) ai costruttori. Tuttavia, la casistica reale dimostra che i veicoli possono ancora essere hackerati tramite molteplici vettori, con scenari di full remote takeover e data breach di massa.
I fornitori ad alto rischio e il rischio geopolitico
Lo studio attribuisce centralità ai “high-risk suppliers”, cioè produttori di veicoli o componenti (ECU, sensori, piattaforme cloud, software) esposti a pressioni governative o militari nel loro Paese per inserire funzionalità occulte o manipolare aggiornamenti. Il report considera plausibili, seppur non altamente probabili, scenari in cui:
uno Stato ostile costringe un OEM (costruttore del veicolo completo) o un tier‑1 (fornitore che consegna direttamente all’OEM sistemi o moduli completi) sotto la sua giurisdizione a implementare hardware/software malevoli o configurazioni nascoste per manipolare da remoto parchi veicoli in UE;
la manipolazione avvenga nella fase di training dell’AI di guida, attivabile solo in determinate condizioni geografiche o temporali (es. uso del veicolo come arma dopo un comando specifico);
l’accesso privilegiato del fornitore e i normali canali di aggiornamento OTA vengano sfruttati per introdurre modifiche pericolose, che passano come se fossero aggiornamenti ufficiali e sicuri, rendendo molto difficile capire se un update è davvero legittimo oppure è stato manomesso.
Per i rischi legati ai dati, il report segnala che:
i CAV raccolgono dati di posizione, uso, stile di guida e potenzialmente immagini e dati in prossimità di infrastrutture critiche, con possibilità di profilazione, sorveglianza e mappatura dettagliata di siti sensibili;
esistono già numerosi casi di data breach su larga scala (Toyota, Tesla, VW/Audi) che mostrano il livello di granularità e sensibilità dei dati conservati da costruttori e provider;
il GDPR protegge i dati personali, ma una quota significativa di dati tecnici e operativi (grid analytics, flussi di traffico, dati aggregati) può non rientrare formalmente in questa categoria, lasciando un’area grigia per il trasferimento transfrontaliero di dati strategici.
Infrastrutture di ricarica: nuovo fronte di rischio sistemico
Un altro messaggio chiave è la bassa maturità cyber delle infrastrutture di ricarica:
uno studio su 235 stazioni di ricarica DC in 4 paesi europei ha rilevato uso di TLS solo nel 12% dei casi, esponendo il resto del parco a vulnerabilità note da anni;
analisi di piattaforme di gestione dei punti di ricarica mostrano vulnerabilità che consentono attacchi remoti con potenziali effetti di disturbo o guasto sulla rete elettrica;
sono già documentati casi reali di cyber attacchi che hanno disabilitato colonnine pubbliche.
Gli operatori di ricarica sono classificati come entità essenziali nel settore energia dalla NIS2 e devono implementare misure di gestione del rischio cyber e obblighi di notifica, ma la distanza tra norma e implementazione pratica è ancora ampia. Per gli assicuratori, questo apre scenari di accumulo tra linee auto, energia e RC (interruzioni di servizio, danni alla rete, responsabilità verso terzi).
Implicazioni per il settore assicurativo: underwriting, accumuli e wording
Dal punto di vista assicurativo, il quadro emerso dal report ha almeno cinque implicazioni principali:
Rischio catastrofale cyber‑fisico sui CAV
Scenari di attacco coordinato a sistemi di controllo o decisione potrebbero coinvolgere simultaneamente migliaia di veicoli della stessa marca/piattaforma, con potenziali sinistri seriali su RC Auto, danni propri e danni a terzi.
Rischi di supply chain e “vendor concentration risk”
La dipendenza da fornitori high‑risk per ECU, piattaforme cloud, moduli di AI o stack software introduce un vettore di rischio geopolitico che i modelli tecnici tradizionali (fondati su parametri driver‑centrics) non colgono.
Nuova esposizione su dati e responsabilità privacy/security
I data breach in ambito CAV generano esposizioni su cyber, D&O, professional liability di OEM e fornitori di servizi digitali, oltre a potenziali azioni collettive legate a uso improprio di dati di localizzazione e profilazione.
Interdipendenza con il settore energia
Attacchi alle infrastrutture di ricarica possono causare blackout locali o sovraccarichi della rete, con danni a infrastrutture critiche, business interruption e responsabilità complesse da attribuire (operatori di rete, gestori di colonnine, OEM).
Rilevanza delle misure regolamentari come parametro di selezione del rischio
L’effettiva implementazione di CSMS, SUMS, misure NIS2 e delle raccomandazioni del toolbox UE per la supply chain ICT diventa un elemento discriminante in underwriting, pricing e strutturazione di programmi di riassicurazione e coassicurazione.
Le principali conclusioni del report
Nella sezione di conclusioni e raccomandazioni, il NIS Cooperation Group afferma che:
Molti rischi tecnici sono coperti dalle attuali norme di omologazione, ma la loro efficacia dipende dall’implementazione concreta da parte degli operatori; in ogni caso, gli incidenti dimostrano che i CAV restano hackable con conseguenze gravi.
Il regime di omologazione del sistema non è progettato per minacce intenzionali su larga scala, con possibili backing governativi, e non basta a mitigare i rischi associati a fornitori ad alto rischio nella supply chain.
La cybersecurity delle infrastrutture di ricarica è insufficiente e va rapidamente elevata ai requisiti dell’art. 21 NIS2, pena il rischio di impatti anche sulla stabilità della rete elettrica.
L’Ente raccomanda alla Commissione di:
definire misure proporzionate per ridurre il rischio nelle catene di fornitura, limitando o escludendo i fornitori ad alto rischio, in particolare per i sistemi di controllo, di decisione e di connettività che possono essere aggiornati da remoto;
sviluppare linee guida per la localizzazione di dati non personali sensibili e finanziare ricerca sugli impatti degli attacchi alla ricarica sulla rete;
integrare i risultati del report nelle future politiche e negli esercizi di preparedness cyber.
Agli Stati membri si raccomanda di applicare il toolbox UE per la supply chain ICT ai CAV, promuovere strategie multi‑vendor, ridurre dipendenze da fornitori ad alto rischio, e condividere incidenti e best practice nei network NIS.
Ai costruttori CAV si raccomanda di rafforzare la gestione dei rischi (cloud hardening, supply chain security) e migliorare l’informativa agli utenti sul trattamento dei dati veicolo‑generati.
© Riproduzione riservata