Cybersecurity ferroviaria e ERTMS: protezione digitale delle linee ad alta velocità e gestione sicura dei sistemi ferroviari europei

Cybersecurity ferroviaria: vulnerabilità critiche di ERTMS/ETCS e sicurezza del segnalamento digitale

A cura di:Redazione Ore

Il settore ferroviario europeo sta attraversando una trasformazione tecnologica senza precedenti. La progressiva implementazione dell’European Rail Traffic Management System (ERTMS) rappresenta uno degli investimenti infrastrutturali più ambiziosi del continente: in Italia, al 30 giugno 2025, sono operativi 1.063 chilometri di linee ad alta velocità equipaggiate con ERTMS Level 2, secondo i dati ufficiali di Rete Ferroviaria Italiana. Nei prossimi decenni, l’intero network ferroviario europeo transiterà verso questo sistema unificato di gestione del traffico.

Tuttavia, questa digitalizzazione massiva porta con sé una superficie d’attacco cibernetico di proporzioni inedite, ponendo interrogativi critici sulla sicurezza di un’infrastruttura classificata come essenziale dalla Direttiva NIS2 e da cui dipendono milioni di passeggeri quotidiani oltre all’intera catena logistica continentale.

L’architettura di ERTMS: stratificazione protocollare e vulnerabilità intrinseche

L’ERTMS si articola su tre livelli protocollari distinti, ciascuno con specifiche criticità che, se sfruttate in modo coordinato, possono compromettere l’integrità dell’intero sistema. Al livello più basso opera GSM-R (Global System for Mobile Communications-Railway), responsabile della trasmissione radio; sopra di esso si colloca il protocollo EuroRadio, che fornisce autenticazione e integrità tramite Message Authentication Code (MAC); infine, il livello applicativo gestisce i messaggi di controllo del treno, incluse le movement authorities (autorizzazioni al movimento).

GSM-R e la crittografia A5/1: una vulnerabilità legacy

La scelta di utilizzare l’algoritmo di cifratura A5/1 per GSM-R costituisce una delle debolezze più critiche documentate nella letteratura scientifica. Sebbene originariamente classificato, questo stream cipher è stato ricostruito attraverso reverse engineering già negli anni Duemila. Ricerche pubblicate su Security and Communication Networks (2018) hanno dimostrato che A5/1 presenta «gravi vulnerabilità» identificate attraverso analisi formale e che può essere compromesso utilizzando rainbow tables e FPGA ad alte prestazioni con tempi di attacco misurabili in minuti.

Inoltre, GSM-R implementa solo un’autenticazione unidirezionale: la rete autentica il terminale mobile (Mobile Station), ma non viceversa, esponendo il sistema ad attacchi di tipo man-in-the-middle (MITM) attraverso la creazione di stazioni base (Base Transceiver Station) contraffatte. Come documentato in uno studio del 2022 pubblicato su PMC, «GSM-R non fornisce protezione dei dati end-to-end, poiché cripta i dati solo dalla Mobile Station alla Base Station e utilizza autenticazione unidirezionale», rendendo possibile l’intercettazione e la manipolazione delle comunicazioni.

EuroRadio: vulnerabilità crittografiche del MAC basato su 3DES

Il protocollo EuroRadio, progettato per compensare le carenze di GSM-R fornendo un ulteriore strato di sicurezza, presenta a sua volta criticità significative. L’utilizzo del Triple DES (3DES) per la generazione dei Message Authentication Code ha dimostrato vulnerabilità documentate in ricerche presentate all’Asia Conference on Computer and Communications Security (2017).

Thomas, Chothia e de Ruiter hanno dimostrato la possibilità di condurre attacchi di collisione contro il MAC di EuroRadio, permettendo a un attaccante che osservi una collisione di forgiare messaggi di controllo del treno. Secondo i loro calcoli, «un attaccante in grado di monitorare tutti i centri di controllo backend in un paese delle dimensioni del Regno Unito per 45 giorni avrebbe l’1% di probabilità di acquisire il controllo di un treno».

Un’analisi formale condotta con strumenti come ProVerif ha rivelato ulteriori criticità: il processo di stabilimento della sessione non utilizza timestamp, consentendo la replica di messaggi ad alta priorità o la loro cancellazione non rilevabile.

Balise e Comunicazioni Wireless: il tallone d’Achille del sistema

Oltre ai protocolli di rete, ERTMS presenta criticità nelle comunicazioni locali. I balise – dispositivi elettromagnetici installati lungo i binari secondo lo standard Eurobalise – trasmettono informazioni sulla posizione al sistema di bordo, ma sono stati progettati senza considerazioni di cybersecurity.

Come evidenziato in uno studio pubblicato nel 2024 su Journal of Systems Safety and Security, «la negazione della comunicazione tra balise e sistema di bordo è generalmente realizzabile con risorse limitate, con impatti potenzialmente devastanti che possono causare effetti a cascata minacciando la disponibilità di ampie porzioni dell’infrastruttura». In alcune implementazioni, risulta persino possibile inviare comandi malevoli al sistema di bordo, con conseguenze catastrofiche per la sicurezza.

Attacchi di Jamming: una minaccia sottovalutata

Gli attacchi di jamming radio rappresentano una minaccia particolarmente seria. Lo standard ERTMS, come documentato nelle specifiche tecniche UNISIG, non contempla misure preventive specifiche contro i fenomeni di disturbo radio. Ricercatori hanno dimostrato che un attaccante in grado di compromettere le comunicazioni GSM-R può causare l’arresto automatico dei treni, poiché i sistemi ETCS Level 2 interpretano la perdita di connessione come una condizione di sicurezza che richiede l’arresto immediato.

Il quadro normativo: dalla TS 50701 alla Direttiva NIS2

Per decenni, il settore ferroviario ha operato in un vuoto normativo per quanto concerne la cybersecurity delle infrastrutture OT. Gli standard esistenti – principalmente EN 50126 per l’affidabilità, disponibilità, manutenibilità e sicurezza (RAMS) – affrontavano esclusivamente la functional safety senza contemplare le minacce intenzionali.

CLC/TS 50701: il primo standard specifico per la cybersecurity ferroviaria

Questa lacuna è stata parzialmente colmata nel 2021 con la pubblicazione della CLC/TS 50701, sviluppata dal CENELEC TC 9X/WG 26. Questa specifica tecnica rappresenta il primo standard internazionale dedicato al settore ferroviario che affronta la cybersecurity in modo sistematico, adattando i requisiti della serie IEC 62443 al contesto ferroviario.

La TS 50701 introduce concetti fondamentali quali:

  • Segmentazione in zone e condotti (zones and conduits)
  • Security Level Target (SL-T) per la classificazione dei sistemi
  • Processi di risk assessment specifici basati sul ciclo di vita RAMS
  • Gestione delle vulnerabilità e security patch management

La seconda edizione, pubblicata nell’agosto 2023, ha rafforzato i requisiti e fornito maggiore dettaglio operativo. Lo standard è attualmente in fase di trasformazione nello standard internazionale IEC 63452, atteso per il 2025-2026.

Direttiva NIS2: obblighi vincolanti per gli operatori ferroviari

Con la Direttiva (UE) 2022/2555 – nota come NIS2 – entrata in vigore nel gennaio 2023 e recepita dagli Stati membri entro ottobre 2024, il trasporto ferroviario europeo è stato formalmente riconosciuto come settore di criticità elevata.

La direttiva impone:

  • Misure appropriate di gestione del rischio cibernetico
  • Obblighi di notifica degli incidenti significativi entro 24 ore (notifica iniziale) e 72 ore (rapporto intermedio)
  • Implementazione di politiche per la sicurezza della supply chain
  • Gestione delle vulnerabilità e formazione del personale
  • Possibili sanzioni fino a 10 milioni di euro o il 2% del fatturato globale annuo

I gestori di infrastrutture ferroviarie e le imprese ferroviarie di dimensioni medie e grandi sono classificati come “entità essenziali”, con requisiti di compliance più stringenti rispetto alle “entità importanti”.

Casistica Reale: incidenti che hanno dimostrato la vulnerabilità dei sistemi ferroviari

Il passaggio delle vulnerabilità ERTMS dallo status teorico a quello di minaccia concreta è stato segnato da diversi incidenti documentati negli ultimi anni.

WannaCry contro Deutsche Bahn (2017)

Nel maggio 2017, l’attacco ransomware WannaCry ha colpito la Deutsche Bahn in Germania, compromettendo circa 450 computer e causando il malfunzionamento dei sistemi di informazione passeggeri, dei distributori automatici di biglietti e dei sistemi CCTV nelle stazioni. Christian Schlehuber, esperto di cybersecurity di DB Netz AG, ha dichiarato all’Intelligent Rail Summit 2017 che l’incidente ha rivelato «varie sfide in termini di responsabilità dei dipendenti all’interno dell’organizzazione e nei processi di gestione degli incidenti».

Sebbene i sistemi critici di sicurezza e interlocking non siano stati compromessi, l’attacco ha dimostrato la permeabilità delle reti ferroviarie alle minacce generaliste e l’insufficiente segregazione tra sistemi IT e OT.

Attacchi all’Ucraina (2015 e 2025)

Nel 2015, un attacco APT (Advanced Persistent Threat) ha colpito l’Ucraina con l’obiettivo di destabilizzare le infrastrutture critiche, prendendo di mira centrali elettriche, infrastrutture minerarie e ferroviarie. L’intento era paralizzare i sistemi di controllo industriale (ICS/SCADA).

Più recentemente, nel marzo 2025, Ukrzaliznytsia – l’operatore ferroviario nazionale ucraino – è stato colpito da un cyberattacco su larga scala che ha interrotto i servizi online e costretto la vendita dei biglietti a passare a modalità offline. Il Ministero della Giustizia ucraino ha attribuito l’attacco alla Russia, dimostrando come le infrastrutture ferroviarie possano diventare obiettivi geopolitici in contesti di conflitto.

Ferrovie dello Stato e il ransomware Hive (2022)

Nel marzo 2022, Ferrovie dello Stato è stata vittima di un attacco ransomware orchestrato dalla cybergang Hive Ransomware, causando il blocco dei sistemi di vendita biglietti nelle stazioni e disservizi nelle Sale Blu. Il malware Cryptolocker ha criptato dati aziendali, con richiesta di riscatto iniziale di 5 milioni di dollari. L’incidente ha portato all’apertura di un’indagine da parte della Procura di Roma per accesso abusivo a sistema informatico e tentata estorsione.

Altri incidenti documentati

  • Regno Unito (2015-2016): Quattro cyberattacchi alla rete ferroviaria britannica, analizzati come operazioni di ricognizione preparatorie a un APT più sofisticato
  • DSB Danimarca (ottobre 2022): Attacco al fornitore di servizi ICT Supeo che ha impedito ai macchinisti di accedere a sistemi IT critici per la sicurezza
  • Skånetrafiken Svezia (agosto 2021): Ransomware contro l’autorità dei trasporti pubblici svedese

Digital Forensics in Ambiente OT Ferroviario: sfide investigative

L’analisi forense digitale in contesti di attacco cibernetico contro sistemi ferroviari presenta sfide uniche che richiedono l’integrazione di competenze dalla digital forensics tradizionale, dalla sicurezza ICS/SCADA e dalla conoscenza del dominio ferroviario.

Bilanciamento tra preservazione delle evidenze e continuità operativa

Come evidenziato nelle linee guida del UK Department for Transport per la Rail Cyber Security, sebbene la preservazione delle prove sia una priorità, il riavvio dei servizi può avere precedenza in caso di attacchi che compromettano la sicurezza o la continuità operativa. La guida raccomanda che, dove esistono sistemi multipli, si preservi almeno un sistema nello stato degradato post-attacco per finalità forensi.

Complessità dell’identificazione della causa radice

I diversi componenti ERTMS – GSM-R, sistemi di segnalamento, interlocking – sono spesso gestiti da dipartimenti diversi, rendendo le indagini trasversali particolarmente complesse. La sincronizzazione e correlazione dei log provenienti da questi sistemi eterogenei è essenziale per ricostruire la sequenza temporale di un attacco, ma richiede piattaforme analitiche sofisticate.

Tecnologie emergenti per il monitoraggio

Le soluzioni basate su Deep Packet Inspection (DPI) specifiche per protocolli ferroviari (ERTMS, CBTC, PTC) stanno introducendo nuove capacità forensi. Questi sistemi possono fornire visibilità in tempo reale su tutti gli asset dell’ecosistema ferroviario – dall’Automatic Train Protection (ATP) agli interlocking, dai sistemi di frenatura agli Operations Control Center – generando telemetria forense preziosa per le indagini post-incidente.

L’ERTMS Security Core Group: dalla consapevolezza alla governance

La risposta del settore alle vulnerabilità crescenti ha trovato espressione nella costituzione dell’ERTMS Security Core Group (ESCG) da parte dell’ERTMS Users Group (EUG). Questo organismo, composto da esperti di sicurezza provenienti da gestori di infrastrutture e imprese di trasporto, ha pubblicato nel 2023 un pacchetto documentale comprensivo che include concetto di sicurezza, valutazioni dei rischi e requisiti dettagliati.

L’ESCG riconosce che la maggior parte delle implementazioni ERTMS esistenti non soddisferebbero i requisiti di sicurezza se valutate secondo lo standard IEC 62443, e sta lavorando per definire una roadmap di miglioramento incrementale che bilanci sicurezza, compatibilità con i sistemi legacy, e sostenibilità economica.

Implicazioni giuridiche: responsabilità e compliance nel cyber law

Dal punto di vista giuridico, la convergenza tra safety e security nel contesto ferroviario solleva questioni complesse. La Direttiva NIS2 introduce sanzioni armonizzate tra gli Stati membri, ma la determinazione della responsabilità in caso di incidente cibernetico con conseguenze sulla safety fisica presenta sfide interpretative significative.

La catena di responsabilità nel settore ferroviario è intrinsecamente complessa: gestori di infrastruttura, imprese ferroviarie, fornitori di tecnologia, provider di servizi ICT e produttori di componenti contribuiscono tutti alla sicurezza complessiva. La NIS2 richiede esplicitamente che le entità affrontino i rischi di cybersecurity derivanti dalle catene di fornitura, ma la traduzione di questo principio in obbligazioni contrattuali specifiche è ancora in evoluzione.

Un aspetto rilevante per i professionisti del diritto digitale è la potenziale intersezione tra normative di safety (come la Common Safety Method on Risk Assessment – CSM-RA) e requisiti di security. Un operatore che rispetta tutti i requisiti di safety ma presenta carenze note di security può essere ritenuto responsabile se un attacco cibernetico sfrutta tali carenze per causare un incidente? La giurisprudenza in materia è ancora limitata, ma il tema diventerà centrale nei prossimi anni.

Prospettive future: verso la transizione 5G e lo standard IEC 63452

L’evoluzione di ERTMS verso nuove versioni e l’eventuale transizione da GSM-R a tecnologie 5G (specificatamente FRMCSFuture Railway Mobile Communication System) rappresenta un’opportunità per incorporare la security by design fin dalle fasi iniziali.

Lo sviluppo dello standard IEC 63452, previsto per il 2025-2026, mira a colmare definitivamente il gap tra sicurezza fisica e sicurezza digitale, mappando i requisiti della serie IEC 62443 al dominio ferroviario e collegando i requisiti di security al ciclo di vita RAMS generico degli standard IEC 62278.

La sfida culturale e organizzativa

La vera sfida non è meramente tecnologica ma culturale e organizzativa. Il settore ferroviario deve sviluppare una nuova generazione di professionisti capaci di comprendere sia il business ferroviario, sia l’IT, sia l’OT, sia l’integrazione della cybersecurity in tutti questi ambiti.

La ricerca accademica gioca un ruolo cruciale: il proliferare di cyber ranges ferroviari – ambienti di simulazione che permettono di modellare reti informatiche ferroviarie e scenari di attacco-difesa – sta fornendo ai ricercatori strumenti essenziali per testare contromisure in ambienti controllati senza rischiare la sicurezza dei sistemi reali.

Conclusioni: la cybersecurity come prerequisito per la trasformazione digitale ferroviaria

La sicurezza cibernetica dell’infrastruttura ferroviaria non è più un optional tecnico ma un prerequisito per la legittimità sociale e operativa della trasformazione digitale del settore. Le vulnerabilità di ERTMS/ETCS non sono anomalie tecniche da correggere marginalmente, ma rappresentano una sfida sistemica che richiede un ripensamento profondo di come progettiamo, implementiamo e gestiamo le infrastrutture critiche nell’era digitale.

Per i professionisti del diritto digitale, della cybersecurity, della sicurezza OT/ICS e della digital forensics, il settore ferroviario rappresenta un laboratorio in cui le questioni fondamentali del nostro tempo – la convergenza tra mondo fisico e digitale, il bilanciamento tra sicurezza e operatività, la responsabilità in sistemi complessi distribuiti – si manifestano con particolare chiarezza.

Il futuro del trasporto ferroviario sarà necessariamente digitale. Spetta alla comunità interdisciplinare di esperti assicurare che sia anche sicuro, attraverso l’adozione di standard robusti, l’implementazione di defense-in-depth, e la creazione di una cultura della sicurezza che permei ogni livello organizzativo.

Fonti:

Arsuaga et al. (2018). “A Framework for Vulnerability Detection in European Train Control Railway Communications“. Security and Communication Networks

Thomas, R.J., Chothia, T., de Ruiter, J. (2017). “An Attack Against Message Authentication in the ERTMS Train to Trackside Communication Protocols“. ACM Asia CCS

Directive (EU) 2022/2555 (NIS2 Directive)

CLC/TS 50701:2023 – Railway applications – Cybersecurity

IEC 62443 Series – Industrial automation and control systems security

ENISA (2023). “Railway Cybersecurity: Good Practices in Cyber Risk Management”

UK Department for Transport (2016). “Rail Cyber Security Guidance to Industry”

 

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi