Il rischio di cyber attacchi fa male alle auto elettriche

Cav, rapida difusione, maggiori rischi

I CAV si stanno diffondendo rapidamente in Europa, spinti da digitalizzazione, connettività e transizione verso il veicolo elettrico e a zero emissioni entro il 2035. Secondo la valutazione coordinata dei rischi di sicurezza dei veicoli connessi e automatizzati e delle loro supply chain ai sensi dell’art. 22 della Direttiva NIS2, valutazione realizzata dal NIS Cooperation Group, il rischio cyber dei CAV non è solo “tecnico”, ma potenzialmente sistemico, con possibilità di eventi catastrofici che colpiscono simultaneamente flotte e infrastrutture. 

Gli asset critici

Il report individua come asset critici:

• sistemi di controllo del veicolo (ECU, powertrain, freni, batterie);
• sistemi di elaborazione e decisione (ADAS/ADS, AI di percezione e pianificazione);
• sistemi di comunicazione e connettività (V2X, 5G, OTA);
• sistemi cloud e backend;
• infrastrutture di ricarica;
• fornitori “high‑risk” nella supply chain ICT.

Nis, ecco i pirinciipali incidenti 

Il Nis documenta incidenti e prove di laboratorio che dimostrano:

• presa di controllo remota di funzioni vitali (sterzo, freni, trasmissione) via vulnerabilità di infotainment, app, Wi‑Fi o backend;
• attacchi a batterie e sistemi di ricarica in grado di generare sovraccarichi, degrado accelerato, rischio d’incendio e impatti sulla rete elettrica;
• manipolazioni di sensori e sistemi di percezione (spoofing LiDAR, “phantom attacks” su telecamere) con potenziali impatti sulla sicurezza stradale;
• compromissioni di sistemi cloud e app che consentono apertura porte, avviamento, localizzazione e disabilitazione remota dei veicoli con il solo numero di targa.

Rischi coperti (ma non tutti)

La valutazione del Nis conclude che gran parte dei rischi “tecnici” è coperta, almeno sulla carta, dal quadro di omologazione UE (UN R155, UN R156, Reg. 2018/858, Reg. 2019/2144), che impone ai costruttori di auto sia un Csms, un Cybersecurity management system che un Sums, un Software update management system ai costruttori. Tuttavia, nota il Nis, "la casistica reale dimostra che i veicoli possono ancora essere hackerati tramite molteplici vettori, con scenari di full remote takeover e data breach di massa".

Implicazioni per il settore assicurativo 

Dal punto di vista assicurativo, il quadro emerso dal report ha almeno cinque implicazioni principali: il rischio catastrofale cyber‑fisico sui CAV, prima di tutto. Ma c'è anche qualche scenario di attacco coordinato a sistemi di controllo o decisione che, secondo il Nis, "potrebbero coinvolgere simultaneamente migliaia di veicoli della stessa marca/piattaforma, con potenziali sinistri seriali su RC Auto, danni propri e danni a terzi". 

Rischi logistici

Esistono, inoltre, rischi di supply chain e “vendor concentration risk”, oltre al fatto che "la dipendenza da fornitori high‑risk per ECU, piattaforme cloud, moduli di AI o stack software introduce un vettore di rischio geopolitico che i modelli tecnici tradizionali (fondati su parametri driver‑centrics) non colgono".  

Rischio di nuova esposizione su dati sensibili

Tra i rischi assicurativi Nis introduce la nuova esposizione su dati e responsabilità privacy/security, i data breach in ambito CAV generano esposizioni su cyber, D&O, professional liability di OEM e fornitori di servizi digitali, oltre a potenziali azioni collettive legate a uso improprio di dati di localizzazione e profilazione. Conta anche l'interdipendenza con il settore energia. 

Attacchi alle infrastrutture di ricarica

Gli attacchi alle infrastrutture possono causare blackout locali o sovraccarichi della rete, con danni a infrastrutture critiche, business interruption e responsabilità complesse da attribuire (operatori di rete, gestori di colonnine, OEM). Ancora: gioca un ruolo anche la rilevanza delle misure regolamentari come parametro di selezione del rischio e l’effettiva implementazione di CSMS, SUMS, misure NIS2 e delle raccomandazioni del toolbox UE per la supply chain ICT: questo parametro, infatti, diventa un elemento discriminante in underwriting, pricing e strutturazione di programmi di riassicurazione e coassicurazione.