Automotive Cybersecurity: dal Regolamento UN R155 alla realtà delle officine italiane

Il quadro normativo: quando la cybersecurity diventa omologazione

Dal 1° luglio 2024, ogni veicolo prodotto e venduto nell’Unione Europea deve essere conforme ai Regolamenti UNECE WP.29 UN R155 e R156. Non si tratta di linee guida né di raccomandazioni: sono requisiti vincolanti per l’omologazione, la cui inosservanza preclude la vendita del veicolo in oltre sessanta mercati.

Il Cybersecurity Management System (CSMS) è il fulcro operativo di UN R155: il costruttore deve implementarlo, farlo certificare da un ente terzo accreditato e dimostrarne l’applicazione lungo l’intero ciclo di vita del veicolo, dalla progettazione alla fine del supporto post-vendita. Il certificato di conformità ha validità massima di tre anni dalla data di emissione, salvo revoca anticipata, ed è prerequisito necessario per presentare domanda di omologazione.

La differenza fondamentale tra standard e regolamento è spesso sottovalutata nella conversazione pubblica italiana. Gli standard sono documenti di riferimento sviluppati dall’industria. I regolamenti sono direttive giuridicamente vincolanti emesse da un’autorità governativa: un costruttore che non riesce a dimostrare un adeguato livello di cybersecurity non potrà vendere i propri veicoli nei mercati regolamentati finché non avrà colmato le lacune.

La norma tecnica di riferimento che traduce i requisiti regolatori in pratiche ingegneristiche concrete è ISO/SAE 21434, la quale definisce come OEM, fornitori Tier 1 e software provider debbano gestire la cybersecurity dall’ideazione del prodotto fino alla sua dismissione. Accanto a UN R155, il Regolamento R156 affronta la dimensione degli aggiornamenti software, garantendo che i costruttori dispongano di processi robusti per la distribuzione sicura degli aggiornamenti ai veicoli, con misure che prevengano modifiche non autorizzate e assicurino l’integrità di ogni rilascio.

Due scadenze, un percorso obbligato: luglio 2022 e luglio 2024

La normativa si è dispiegata in due fasi distinte. Da luglio 2022, tutti i nuovi tipi di veicolo sottoposti a omologazione devono soddisfare i requisiti di R155. Da luglio 2024, la conformità è diventata obbligatoria per tutti i nuovi veicoli prodotti e venduti nei Paesi contraenti, inclusi i tipi con omologazioni preesistenti: nessun veicolo nuovo può pertanto essere immatricolato senza un valido certificato CSMS.

La scadenza di luglio 2024 ha avuto conseguenze industriali immediate. Alcuni costruttori hanno preferito interrompere la produzione di specifici modelli, piuttosto che sostenere i costi di adeguamento. Il caso più citato è Porsche, che ha ritirato dalla vendita in alcuni mercati le versioni a combustione dei modelli 718 Boxster e 718 Cayman, ritenuti non economicamente sostenibili nel percorso di conformità.

Lo scope del regolamento si espande progressivamente anche oltre le autovetture tradizionali. Dal luglio 2029, anche i motocicli dovranno dotarsi di un CSMS, e veicoli speciali quali ambulanze, mezzi commerciali e rimorchi sono parimenti coinvolti nella normativa. Per l’Italia questo ha implicazioni produttive immediate: la filiera nazionale della componentistica per motocicli e macchinari agricoli, fortemente concentrata in Emilia-Romagna, Veneto e Lombardia, si trova improvvisamente in perimetro regolatorio senza aver avuto il tempo di costruire competenze specifiche. I piccoli produttori di componenti elettronici per il settore agricolo, che non avevano mai dovuto affrontare audit di cybersecurity, devono ora strutturarsi per dimostrare conformità ai propri clienti OEM.

La superficie di attacco di un veicolo connesso: numeri che cambiano la prospettiva

Per comprendere perché R155 esiste, occorre avere chiaro cosa significhi, concretamente, attaccare un veicolo moderno. Le auto attuali possono contenere tra 70 e oltre 100 ECU (Electronic Control Unit), ciascuna responsabile di funzioni quali controllo motore, frenata, sterzo elettronico, infotainment e sistemi ADAS (Advanced Driver Assistance Systems). Queste unità elaborano dati in tempo reale da sensori e attuatori e la loro compromissione può portare a gravi guasti di sicurezza, accessi non autorizzati e vulnerabilità sistemiche a cascata.

Sulla stessa architettura convergono oltre 100 milioni di righe di codice e più di quindici punti di connettività esterna, dai modem cellulari al Bluetooth, Wi-Fi e comunicazioni V2X (vehicle-to-everything). Il protocollo CAN bus, ampiamente adottato per il controllo in tempo reale tra le ECU, è leggero ed efficiente ma non dispone di meccanismi nativi di crittografia o autenticazione dei messaggi: un limite non accademico, dal momento che in ambienti di test controllati i ricercatori hanno dimostrato la capacità di compromettere la maggioranza delle ECU di un veicolo sfruttando precisamente questa caratteristica.

I numeri aggregati degli incidenti confermano la traiettoria di rischio. Secondo l’Upstream Security 2026 Global Automotive and Smart Mobility Cybersecurity Report, il ransomware ha rappresentato il 44% degli incidenti di cybersecurity automotive pubblicamente noti nel 2025, più del doppio della quota registrata l’anno precedente. Il 92% degli attacchi è stato condotto da remoto, con l’86% che non richiedeva alcuna prossimità fisica al veicolo. I sistemi di telematica, le piattaforme cloud e le API sono stati identificati come vettori primari nel 67% dei casi.

La vulnerabilità PerfektBlue e il ruolo della automotive cybersecurity come campanello d’allarme

Nel luglio 2025, la comunità della sicurezza automotive ha registrato una delle divulgazioni di vulnerabilità più significative dell’anno. I ricercatori di PCA Cyber Security hanno scoperto quattro vulnerabilità nel Bluetooth stack BlueSDK di OpenSynergy, concatenabili in una exploit chain denominata PerfektBlue per ottenere Remote Code Execution (RCE) sui sistemi di infotainment di veicoli appartenenti ad almeno tre grandi costruttori: Mercedes-Benz, Volkswagen e Skoda.

La portata potenziale è rilevante: secondo il suo sviluppatore, BlueSDK è installato in 350 milioni di veicoli prodotti da Ford, Mercedes-Benz, Skoda, Volkswagen e altri costruttori. Tuttavia è essenziale descrivere con precisione cosa PerfektBlue consente e cosa non consente. Per sfruttarla, un attaccante deve trovarsi nel raggio Bluetooth del veicolo, approssimativamente 5-7 metri, e accoppiare il proprio dispositivo al sistema di infotainment.

Un exploit riuscito consente di accedere a dati GPS, registrazioni audio nell’abitacolo e rubrica telefonica e, in architetture con segmentazione insufficiente, di tentare movimenti laterali verso altri componenti. Volkswagen ha tuttavia dichiarato esplicitamente che gli interventi su funzioni critiche come sterzo, sistemi di assistenza alla guida, motore o freni non sono possibili tramite questa vulnerabilità, poiché quelle funzioni si trovano su un’unità di controllo separata e protetta da proprie funzioni di sicurezza.

Il caso PerfektBlue illustra inoltre una delle tensioni strutturali più irrisolte del settore: nonostante OpenSynergy avesse distribuito le patch ai propri clienti nel settembre 2024, alcuni produttori di veicoli non avevano ancora ricevuto gli aggiornamenti necessari a giugno 2025, quasi un anno dopo la divulgazione iniziale. I cicli di aggiornamento del firmware automotive non sono ancora allineati con i tempi di risposta alle vulnerabilità tipici del mondo IT. Come analizzato nel contesto della sicurezza ICS e OT, la lentezza nella distribuzione degli aggiornamenti nei sistemi cyber-fisici industriali e automotive condivide radici comuni: filiere complesse, sistemi legacy e mancanza di trasparenza nella catena di fornitura del software.

Il nodo degli aggiornamenti OTA: infrastruttura critica sotto attacco

Gli aggiornamenti Over-the-Air (OTA) rappresentano uno dei mutamenti più profondi nel rapporto tra produttore, veicolo e officina. Un richiamo tradizionale costa in media 500 euro a vettura tra manodopera e ricambi, mentre la stessa correzione via OTA scende a circa 50 euro. Entro il 2027 tutti i nuovi modelli europei dovranno supportare aggiornamenti OTA secondo lo standard UNECE R156.

Tuttavia, la stessa infrastruttura che rende possibili questi vantaggi è diventata un bersaglio primario. I canali di distribuzione degli aggiornamenti sono oggetto di interesse da parte di attori malevoli, che cercano modi per intercettarli, falsificare messaggi legittimi o iniettare codice malevolo. La sfida per i costruttori è mantenere la flessibilità degli aggiornamenti OTA garantendo un framework di sicurezza più robusto sull’intero processo, dai server cloud ai sistemi di verifica a bordo del veicolo.

Due episodi del 2025 hanno reso questo rischio concreto e documentato. Il 13 maggio 2025, un proprietario di Volvo XC90 in California si è scontrato con un guardrail durante una discesa di montagna, poche ore dopo che presso un concessionario Volvo autorizzato era stato installato l’aggiornamento software versione 3.5.14.

Il bug nel modulo di controllo dei freni causava la perdita della funzionalità frenante dopo oltre 90 secondi di discesa con B mode o One Pedal Drive attivi, senza applicazione del pedale. La NHTSA ha rilasciato pubblicamente il video della dashcam per documentare il rischio. Il richiamo NHTSA ha interessato circa 11.500 veicoli Volvo ibridi ed elettrici dei model year 2020-2026, con il modulo freni aggiornato gratuitamente tramite OTA correttivo o presso il concessionario.

Il secondo episodio riguarda direttamente Stellantis. Il 10 ottobre 2025, Jeep ha distribuito un aggiornamento OTA ai Jeep Wrangler 4xe ibridi che ha causato gravi malfunzionamenti al powertrain: i proprietari hanno segnalato perdite improvvise di propulsione durante la marcia, anche ad alta velocità in autostrada, messaggi di errore multipli nella strumentazione e veicoli impossibilitati a ripartire. Il problema era riconducibile a uno scambio incompleto di dati tra il Telematics Box Module e l’Hybrid Control Processor, con il conseguente reset inaspettato di quest’ultimo. Il richiamo ha riguardato 24.238 unità dei model year 2023-2025. Nessun incidente con feriti è stato riportato, ma l’episodio ha generato oltre 200 segnalazioni alla NHTSA e ha innescato procedimenti legali collettivi negli Stati Uniti.

L’attacco a Jaguar Land Rover: quando il cyber diventa catastrofe industriale

Se i due episodi precedenti illustrano i rischi di un aggiornamento software mal gestito, l’attacco a Jaguar Land Rover dell’estate-autunno 2025 ha dimostrato la capacità distruttiva di un’operazione cyber deliberata contro un costruttore automotive.

L’attacco iniziò il 31 agosto 2025, quando i responsabili dello stabilimento di Halewood notarono comportamenti anomali su alcuni sistemi informatici. Il giorno successivo, JLR comunicò pubblicamente l’incidente e attuò lo spegnimento controllato dei propri sistemi per contenere la propagazione. Entro il 22 settembre, le linee produttive avevano cessato completamente ogni attività per quasi quattro settimane, con il personale invitato a restare a casa. La produzione complessiva è ripresa intorno all’8 ottobre 2025. Il ciberattacco è costato a JLR £196 milioni nel solo secondo trimestre dell’anno fiscale 2026, a fronte di un profitto di £398 milioni nello stesso periodo dell’anno precedente.

L’impatto sull’economia britannica è stato stimato in £1,9 miliardi. I volumi di vendita all’ingrosso nel trimestre sono crollati del 43,3%. La Banca d’Inghilterra ha citato esplicitamente l’attacco come uno dei fattori che hanno contribuito a una crescita del PIL britannico inferiore alle attese nel terzo trimestre 2025, con una contrazione diretta dello 0,17% del GDP nel solo mese di settembre. Oltre 5.000 organizzazioni nel Regno Unito sono state impattate dall’interruzione: fornitori di primo, secondo e terzo livello, aziende logistiche, service provider e concessionari.

Sul piano tecnico, l’attacco non è stato il risultato di un exploit sofisticato ma dell’esecuzione di tattiche consolidate: social engineering, abuso di credenziali, segmentazione di rete insufficiente e rilevamento tardivo. Come analizza Dark Reading, aggravante fondamentale è stata la mancata remediation completa di un precedente attacco: a marzo 2025, il gruppo HELLCAT aveva già sottratto 700 documenti interni tramite credenziali Jira rubate a un fornitore terzo. Gli attaccanti hanno probabilmente mantenuto accesso persistente alla rete, scegliendo strategicamente il momento più dannoso per colpire, il cosiddetto New Plate Day, uno dei giorni di vendita più intensi dell’anno nel mercato britannico.

L’episodio JLR è il più chiaro esempio disponibile di come la cybersecurity automotive non riguardi soltanto i veicoli ma l’intera infrastruttura produttiva e logistica che li circonda. Come approfondito nell’analisi sulla cybersecurity automobilistica italiana, la complessità degli ecosistemi di produzione rende ogni nodo della supply chain un potenziale vettore di attacco per colpire il costruttore finale.

La filiera italiana: tra eccellenza manifatturiera e gap di cybersecurity

L’Italia ospita una delle filiere automotive più dense e articolate d’Europa. Secondo l’Osservatorio sulla Componentistica Automotive Italiana 2025, curato da ANFIA e dalla Camera di Commercio di Torino, nel 2024 le 2.134 imprese che compongono la filiera hanno impiegato circa 168.000 addetti e generato un fatturato stimato di 55,5 miliardi di euro. Dopo anni favorevoli, il 2024 ha segnato la fine di una fase di crescita, con una contrazione dei ricavi totali pari al 6,0%.

Questa filiera, storicamente costruita attorno a competenze meccaniche e di lavorazione di precisione, si trova oggi a dover integrare pratiche di cybersecurity engineering radicalmente diverse dalla propria cultura aziendale tradizionale. Sebbene i fornitori Tier 1 e Tier 2 non debbano ottenere autonomamente l’approvazione di conformità, devono dimostrare ai costruttori che i requisiti di cybersecurity sono stati implementati. Nella pratica, i fornitori che non riescono a dimostrare conformità alla ISO/SAE 21434 rischiano di perdere contratti con OEM che operano in mercati regolamentati R155, indipendentemente dalla qualità del prodotto fisico che forniscono.

Le sfide principali per i fornitori di dimensioni contenute comprendono la documentazione e la tracciabilità richiesta dallo standard, i vincoli di risorse, il gap di competenze interne e la complessità del processo di certificazione. Per le PMI della componentistica italiana, che non hanno mai strutturato funzioni di sicurezza informatica, il salto culturale e organizzativo è significativo quanto quello tecnico.

La convergenza normativa rende il quadro ancora più articolato. Per i responsabili della sicurezza nelle aziende automotive italiane, il 2026 presenta una sovrapposizione tra R155, la NIS2 recepita in Italia con il D.Lgs. 138/2024 (in vigore dal 16 ottobre 2024) e il Cyber Resilience Act in applicazione progressiva fino al 2027. Un fornitore di componenti connessi potrebbe trovarsi in perimetro normativo per tutti e tre questi framework simultaneamente, con obblighi che si sovrappongono in alcune aree e si completano in altre.

ADAS, ECU e il confine tra software e sicurezza fisica

I sistemi ADAS amplificano il profilo di rischio cyber per una ragione strutturale: un attacco che compromette la percezione di un sensore non si traduce in un furto di dati, ma potenzialmente in una perdita di controllo del veicolo. Le ECU che governano ADAS, powertrain e infotainment sono bersagli di attacchi quali code injection avversariale, replay attack o manipolazione del firmware. Compromettere questi sistemi può avere impatto diretto su funzioni critiche per la sicurezza come frenata, sterzo e collision avoidance.

La transizione verso i veicoli software-defined (SDV) non è priva di rischi aggiuntivi. I sistemi software centralizzati offrono efficienza, ma espandono simultaneamente la superficie di attacco: la concentrazione di funzioni su architetture computazionali unificata rende il veicolo più performante e più vulnerabile allo stesso tempo.

Per le officine indipendenti italiane, questa evoluzione pone domande ancora prive di risposta sistematica. La calibrazione degli ADAS dopo una riparazione carrozzeria è già diventata un tema operativo quotidiano: il semplice cambio di un parabrezza richiede la ricalibrazione delle telecamere di assistenza alla guida. Nella prospettiva della cybersecurity, questa operazione, se eseguita con strumenti non autenticati o tramite connessioni non sicure ai sistemi backend del costruttore, potrebbe costituire un punto di ingresso nella rete elettronica del veicolo. La crescente integrazione di diagnostica basata su cloud, aggiornamenti software OTA e strumenti di calibrazione in rete pone i centri di assistenza all’interno della stessa infrastruttura digitale che gli attaccanti prendono di mira.

La questione del diritto alla riparazione si sovrappone qui con quella della sicurezza: garantire accesso agli strumenti diagnostici alle officine indipendenti senza al contempo aprire vettori di attacco aggiuntivi sulle centraline del veicolo è una delle tensioni architetturali più irrisolte che il settore dovrà affrontare nei prossimi anni, con implicazioni regolamentari dirette sia per i costruttori sia per la rete di assistenza.

La strada da percorrere: compliance come processo, non come traguardo

La compliance a R155 non è un evento puntuale ma un processo continuo. Un OEM deve tracciare le vulnerabilità per l’intero ciclo di vita del veicolo, essere responsabile del patching in tempi rapidi per le vulnerabilità critiche di nuova scoperta e istituire una governance della cybersecurity che includa gestione della consapevolezza, gestione delle competenze e miglioramento continuo.

I budget destinati alla cybersecurity tra i dieci principali OEM mondiali sono attesi in raddoppio entro il 2026. Questa tendenza si riflette necessariamente sui fornitori attraverso le crescenti richieste di documentazione e audit. Per le PMI della componentistica italiana, il percorso più pragmatico parte da una gap analysis rispetto ai requisiti di ISO/SAE 21434, poi dalla costruzione della documentazione dei processi di sviluppo sicuro (modellazione delle minacce, secure coding guidelines, procedure di testing) e, infine, dall’eventuale percorso di pre-assessment con enti di certificazione, molti dei quali offrono percorsi a costo contenuto per comprendere l’entità del lavoro prima di impegnarsi in un audit formale.

I cybercriminali non prendono di mira soltanto i costruttori: in diversi casi documentati nel 2025, i conducenti stessi sono stati presi di mira dopo che gli attaccanti avevano interferito con l’accesso al veicolo o con le sue funzionalità, per poi richiedere un pagamento per ripristinare il controllo. Come la sicurezza passiva dei crash test è diventata un presupposto di accettabilità del prodotto, la cybersecurity è destinata a diventare un requisito di base, non un differenziatore competitivo.

Per la filiera italiana, la posta in gioco va oltre la conformità normativa: riguarda la capacità di continuare a essere fornitori qualificati per costruttori globali che, sotto la pressione regolatoria, hanno iniziato a fare della cybersecurity un criterio di selezione nei contratti di fornitura tanto quanto il prezzo e la qualità manifatturiera. Le aziende che scelgono di investire ora, invece di attendere la prossima crisi, saranno quelle che determineranno come appare la mobilità sicura e affidabile nel 2026 e oltre.