UN R155 e R156: la cybersecurity automobilistica che l’Italia non può ignorare
Dal 1° luglio 2024 ogni veicolo prodotto e venduto nell’Unione Europea deve essere conforme ai regolamenti UNECE WP.29 UN R155 e R156. Non si tratta di linee guida, né di raccomandazioni: sono requisiti vincolanti per l’omologazione. Eppure nella conversazione pubblica italiana sulla cybersecurity, l’automotive rimane quasi del tutto assente. Un’assenza che pesa: l’Italia ospita Stellantis, una delle prime cinque case automobilistiche mondiali per volumi, e una delle filiere di fornitori Tier 1 e Tier 2 più dense d’Europa.
Cosa sono R155 e R156: non solo normativa, ma ridefinizione del prodotto
I regolamenti R155 e R156 sono stati adottati dall’UNECE World Forum for Harmonization of Vehicle Regulations e sono entrati in vigore il 22 gennaio 2021, diventando obbligatori per i nuovi tipi di veicolo dal luglio 2022 ed estesi a tutti i veicoli in produzione dal luglio 2024. Da quella data, un’auto senza conformità R155 non può ricevere l’omologazione europea.
UN R155 impone l’implementazione e la certificazione di un Cybersecurity Management System (CSMS): un sistema organizzativo e tecnico che copre l’intero ciclo di vita del veicolo, dalla progettazione alla fine del supporto post-vendita. Il CSMS deve includere processi di identificazione e gestione dei rischi cyber, procedure di risposta agli incidenti, meccanismi di monitoraggio continuo delle vulnerabilità e capacità di aggiornare le protezioni anche dopo la vendita del veicolo. Lo standard tecnico di riferimento è la ISO/SAE 21434, che traduce i requisiti regolatori in pratiche di ingegneria della sicurezza.
UN R156 si concentra invece sul Software Update Management System (SUMS): l’infrastruttura che garantisce che gli aggiornamenti software del veicolo, inclusi quelli Over-the-Air (OTA), avvengano in modo sicuro, tracciabile e verificabile dalle autorità. La necessità di R156 nasce da un dato di realtà: un’auto moderna contiene oltre 100 milioni di righe di codice distribuite su decine di ECU. Ogni aggiornamento software è un potenziale vettore di attacco se non gestito con processi rigorosi.
Come sottolinea Bosch Engineering nella sua analisi tecnica, i regolamenti si articolano su due livelli distinti ma interconnessi: i processi e le strutture organizzative del costruttore, e i requisiti tecnici specifici del veicolo. Entrambi devono essere dimostrabili davanti a un ente di certificazione terzo.
L’estensione silenziosa del 2024: motociclette, e-bike e veicoli agricoli
Un aspetto meno discusso, ma significativo, riguarda l’espansione dello scope. Nel gennaio 2024, UNECE ha esteso l’applicazione di R155 ai motocicli, agli scooter e alle biciclette elettriche che superano i 25 km/h. Alla fine del 2024 è stata confermata l’inclusione dei veicoli a due ruote a motore nella stessa categoria. Si discute attivamente l’inclusione dei veicoli agricoli categoria T (trattori e relativi rimorchi).
Per l’Italia questo ha implicazioni industriali concrete. La filiera nazionale della componentistica per motocicli e macchinari agricoli, fortemente concentrata in Emilia-Romagna, Veneto e Lombardia, si trova improvvisamente in scope regolatorio senza aver avuto il tempo di costruire competenze specifiche. I piccoli produttori di componenti elettronici per il settore agricolo, che non avevano mai dovuto affrontare audit di cybersecurity, devono ora strutturarsi per dimostrare conformità ai propri clienti OEM.
La superficie di attacco di un veicolo connesso: dati che sorprendono
Per comprendere perché R155 esiste, è necessario avere chiaro che cosa significhi, concretamente, attaccare un veicolo moderno. Secondo la ricerca pubblicata nel World Journal of Advanced Research and Reviews nel 2025 (vol. 26, n. 01), i veicoli connessi presentano 364 potenziali superfici di attacco documentate, con un’architettura di rete gerarchica organizzata in media su 4 domini (powertrain, chassis, body, infotainment), ciascuno con ECU multipli che comunicano tra loro tramite protocolli come CAN bus, Ethernet automotive e LIN.
Gli attacchi documentati in ambienti laboratoriali sono riusciti a compromettere 14 su 16 ECU testati sfruttando il protocollo CAN. I vettori di attacco principali includono le interfacce wireless (Wi-Fi, Bluetooth, connessioni cellulari 4G/5G), i sistemi di telematica, le infrastrutture di ricarica per i veicoli elettrici e le API dei servizi backend degli OEM.
I numeri del 2024 e 2025 rendono urgente la questione. L’Upstream Security 2026 Global Automotive and Smart Mobility Cybersecurity Report (febbraio 2026) documenta 494 incidenti di cybersecurity pubblicamente noti nel settore automotive e della smart mobility nel 2025, con ransomware che ha rappresentato circa il 44% dei casi, più del doppio rispetto al 2024. Lo stesso report rileva che il 92% degli attacchi è stato condotto da remoto, con l’86% che non richiedeva alcuna prossimità fisica ai veicoli. Il report Upstream Security 2025 (riferito ai dati 2024) rivela che il 60% degli incidenti ha colpito simultaneamente migliaia o milioni di asset, con gli attacchi su scala massiva che sono più che triplicati rispetto al 2023.
La ricerca VicOne 2025 “Shifting Gears” (marzo 2025) ha identificato 530 vulnerabilità automotive (CVE) nel solo 2024, un record storico, quasi il doppio rispetto al 2019. Nell’arco del decennio 2014-2024 sono state catalogate complessivamente 2.271 vulnerabilità legate ai software-defined vehicle, di cui oltre il 77% localizzate nei sistemi a bordo veicolo.
Il caso Stellantis: quando la supply chain è il punto d’ingresso
Il settembre 2025 ha portato a galla una vulnerabilità strutturale del settore che non può essere ignorata. Stellantis ha confermato una violazione dei dati che ha esposto le informazioni di contatto di clienti nordamericani. L’attacco non ha colpito direttamente Stellantis: ha sfruttato un fornitore terzo che gestisce le operazioni di customer service, compromesso attraverso token OAuth rubati dalla piattaforma Salesloft Drift integrata con Salesforce.
È fondamentale comprendere la natura sistemica di questo evento: la violazione di Stellantis non è stata un incidente isolato, ma parte di una campagna di attacco supply chain che ha colpito simultaneamente oltre 700 organizzazioni tra agosto e settembre 2025, tra cui Cloudflare, Google, Palo Alto Networks, CyberArk, Zscaler, Adidas, LVMH e centinaia di altre. Il soggetto attaccante (tracciato da Google come UNC6395 e da Cloudflare come GRUB1, rivendicato pubblicamente dal gruppo ShinyHunters) ha operato sfruttando un singolo punto debole nell’ecosistema SaaS per propagarsi su scala globale.
La dinamica è istruttiva per chi opera nella filiera automotive italiana. Come analizzato su ICT Security Magazine nell’approfondimento sulle infrastrutture critiche all’intersezione tra dispositivi cyber-fisici e Cyber Threat Intelligence, la complessità degli ecosistemi ICS/OT rende ogni punto della supply chain un potenziale vettore. Stellantis aveva investito in sicurezza by design nei propri sistemi, adottando meccanismi crittografici per i domini connessi del veicolo secondo il suo Piano di Vigilanza 2024. Eppure l’attacco è entrato da un fornitore periferico.
Questa asimmetria è esattamente il problema che R155 cerca di affrontare: il CSMS impone che la responsabilità della cybersecurity si estenda lungo l’intera catena di fornitura. Un OEM non può semplicemente dichiarare conformità senza verificare che i propri Tier 1 e Tier 2 supplier soddisfino gli stessi standard.
Cosa chiedono concretamente R155 e R156 ai costruttori e ai fornitori
L’impatto regolatorio non è uniforme: dipende dal ruolo nella filiera. Ecco la mappa degli obblighi.
Per gli OEM (costruttori di veicoli)
Il CSMS deve essere certificato da un ente terzo accreditato e deve coprire: la gestione del rischio per l’intero ciclo di vita; le procedure di threat analysis and risk assessment (TARA) per ogni nuovo tipo di veicolo; la capacità di rilevare, rispondere e comunicare incidenti cyber; il monitoraggio continuo post-vendita delle vulnerabilità; la gestione della sicurezza dei fornitori lungo la catena di approvvigionamento. Il CSMS deve prevedere ruoli e responsabilità chiari, con figure dedicate alla cybersecurity e processi documentati per la risposta agli incidenti sia in fase di sviluppo che post-produzione.
Il SUMS (R156) impone che ogni aggiornamento software, inclusi gli OTA, sia: autenticato e verificabile; tracciato con log immutabili consultabili dalle autorità; reversibile in caso di malfunzionamento; non in grado di compromettere la conformità del tipo di veicolo all’omologazione. L’OTA diventa quindi non solo una funzionalità commerciale, ma un processo regolato con precisi obblighi di governance.
Per i fornitori Tier 1 e Tier 2
R155 non si applica direttamente ai fornitori, ma gli OEM ne scaricano contrattualmente gli obblighi lungo la catena. In pratica, ogni fornitore di componenti con ECU, connettività o software deve essere in grado di dimostrare che i propri prodotti siano stati sviluppati con processi conformi alla ISO/SAE 21434 e che le vulnerabilità vengano comunicate tempestivamente all’OEM. È documentato che alcuni OEM hanno già smesso di produrre certi modelli perché la conformità R155 era economicamente insostenibile per quella specifica architettura.
Il divario tra compliance e resilienza reale
A quasi due anni dall’estensione a tutti i nuovi veicoli, la maggior parte dei grandi OEM ha sviluppato sistemi conformi. Volkswagen, Ford, GM hanno assunto Chief Product Security Officer; BMW, Mercedes-Benz, Toyota investono in team dedicati alla modellazione delle minacce. Ma permangono due criticità strutturali.
La prima è il cyber gap: Upstream Security lo definisce come il divario crescente tra la compliance formale ai regolamenti e la resilienza effettiva ai cyberattacchi. I regolamenti stabiliscono requisiti minimi, ma non possono stare al passo con la velocità con cui gli attaccanti evolvono le tecniche. Come documentato dall’Upstream Security 2026 Report, il 2025 ha visto un’ulteriore espansione degli attacchi tramite cloud API e sistemi telematici backend, con il 67% degli incidenti originati da telematics e infrastrutture cloud, vettori che i processi TARA tradizionali faticano a valutare adeguatamente.
La seconda è la fragilità della supply chain multi-tier. I grandi OEM possono strutturarsi, ma i loro fornitori più piccoli, in particolare quelli di secondo e terzo livello, hanno difficoltà a sostenere i costi della conformità. Come evidenziato dalla discussione sulla resilienza IT/OT nel contesto NIS2 riportata da ICT Security Magazine nell’analisi sulla resilienza IT/OT per la NIS2, le aziende multinazionali che gestiscono centinaia di impianti impongono le proprie policy, mentre i fornitori più piccoli rappresentano spesso l’anello più debole della catena. Nel settore automotive, questo problema è amplificato dalla complessità tecnica delle ECU e dall’assenza storica di cultura della sicurezza nell’ingegneria elettronica automotive.
Italia: opportunità e ritardi in una filiera esposta
Il contesto italiano è peculiare. Da un lato, Stellantis rappresenta un vantaggio competitivo: avere un OEM globale con impianti sul territorio nazionale significa accesso a know-how, investimenti e trascinamento verso standard più alti. Dall’altro, la stragrande maggioranza della filiera italiana è composta da PMI specializzate che non hanno mai avuto dipartimenti di cybersecurity strutturati.
Secondo i dati di mercato disponibili, l’Europa copre circa il 25% del mercato globale della cybersecurity automotive nel 2025 (con stime di CAGR che variano tra il 10% e il 18% a seconda della fonte e del periodo di riferimento) e rappresenta la regione a crescita più rapida, trainata dall’adozione obbligatoria di R155 e dall’accelerazione regolatoria. La presenza di ENISA, che guida i gruppi di esperti sulla sicurezza delle auto connesse, e degli hub automotive in Germania, Francia e Italia accelera l’adozione degli standard. Degno di nota: il mercato automotive cybersecurity italiano cresce a un CAGR stimato del 18,9%, il più alto in Europa tra i grandi Paesi.
Ma per i fornitori italiani di secondo livello, la sfida è pratica e immediata: certificare un CSMS ha costi che possono superare i 200.000 euro per un’azienda media, richiede competenze che non si trovano facilmente sul mercato del lavoro italiano, e deve essere ripetuto periodicamente. Le PMI che non riescono ad adeguarsi rischiano di essere escluse dalle catene di fornitura degli OEM europei.
R155, NIS2 e Cyber Resilience Act: la convergenza normativa che complica il quadro
Per i responsabili della sicurezza nelle aziende automotive italiane, il 2026 presenta una sovrapposizione normativa che richiede chiarezza. R155 è un regolamento specifico di settore per i veicoli. La NIS2, recepita in Italia con il D.Lgs. 138/2024 (pubblicato in G.U. il 1° ottobre 2024, in vigore dal 16 ottobre 2024), si applica ai fornitori di infrastrutture critiche e trasporti, quindi potenzialmente a diversi player della filiera automotive. Il Cyber Resilience Act, in applicazione progressiva fino al 2027, impone requisiti di sicurezza by design su tutti i prodotti digitali venduti nell’UE, incluse le ECU e i componenti connessi.
La convergenza non è un semplice accumulo di obblighi: i tre framework si sovrappongono in alcune aree e si completano in altre. Un fornitore automotive italiano di componenti connessi potrebbe essere in scope simultaneamente per tutti e tre. La buona notizia è che la conformità a R155 tramite ISO/SAE 21434 costituisce una base solida che agevola significativamente anche la compliance NIS2 e CRA, poiché i processi di risk management, vulnerability management e incident response sono sostanzialmente comuni.
Cosa fare adesso: priorità per OEM, Tier 1 e fornitori di secondo livello
Le priorità differiscono significativamente in base al ruolo nella filiera.
Per gli OEM e i Tier 1 già in percorso di conformità
Il focus si sposta dalla compliance alla resilienza operativa. Ciò significa: implementare sistemi di monitoraggio continuo delle minacce post-vendita (Vehicle Security Operations Centers); strutturare processi di vulnerability disclosure che permettano a ricercatori esterni di segnalare vulnerabilità; integrare nel SUMS meccanismi di rollback rapido per gli aggiornamenti OTA compromessi; estendere il perimetro del CSMS ai fornitori cloud e alle piattaforme API di backend, che nel 2024 e 2025 si sono rivelati il vettore di attacco più frequente (67% degli incidenti nel 2025 secondo l’Upstream 2026 Report).
Per i fornitori Tier 2 e Tier 3
Il percorso più pragmatico parte da una gap analysis rispetto alla ISO/SAE 21434 per identificare le aree critiche. Prima di investire in strumenti, è necessario costruire la documentazione dei processi di sviluppo sicuro: threat modeling, secure coding guidelines, procedure di testing. Molti enti di certificazione offrono percorsi di pre-assessment a costo contenuto che permettono di capire l’entità del lavoro prima di impegnarsi in un audit formale.
Per i decisori di policy e le associazioni di categoria
Il MIMIT e le associazioni come ANFIA dovrebbero costruire programmi di supporto specifici per le PMI della filiera, sul modello di quanto fatto in Germania con il programma Mittelstand-Digital Zentrum per la cybersecurity industriale. La mancanza di competenze certificate in automotive cybersecurity sul mercato italiano è il vero collo di bottiglia: senza investimenti nella formazione universitaria e professionale, le PMI non potranno adeguarsi indipendentemente dai fondi disponibili.
Il veicolo connesso come infrastruttura critica
C’è un cambiamento concettuale che R155 impone e che va oltre la compliance: i veicoli connessi non sono più solo prodotti di consumo. Sono infrastrutture mobili, costantemente connesse a backend cloud, potenzialmente vulnerabili da remoto, con accesso fisico a spazi critici. Un attacco riuscito a una flotta di veicoli connessi non è solo un danno economico per il produttore: può avere implicazioni di sicurezza fisica per i passeggeri e per l’infrastruttura stradale.
La prospettiva con cui il settore automotive italiano deve leggere R155 e R156 non è quella della compliance burocratica, ma quella della gestione di un rischio sistemico. Come avvenuto per NIS2 nel settore energetico e sanitario, la regolazione arriva dopo che il rischio si è già manifestato in forme concrete. Nel 2026, con 494 incidenti documentati nel solo 2025 e attacchi che scalano su milioni di veicoli simultaneamente, il rischio è già reale. Il momento di strutturarsi non è la scadenza della prossima notifica: è adesso.
