Negli ultimi anni gli attacchi informatici contro le aziende di trasporto e logistica sono aumentati in modo significativo, trasformando la cybersecurity in un rischio operativo e di business diretto, più che in una mera questione tecnica. Secondo l’Agenzia dell’UE per la cybersicurezza, il settore è ormai tra i più frequentemente colpiti in Europa, con ransomware, phishing e attacchi alla supply chain che rappresentano sfide persistenti per aziende di tutte le dimensioni.
Secondo il rapporto ENISA Threat Landscape 2025, il trasporto è il terzo settore più colpito nell’UE. Gli incidenti di cybercrime che hanno interessato il trasporto hanno rappresentato l’8,4% di tutti gli incidenti registrati, con il ransomware responsabile dell’83,9% e le violazioni dei dati del 16,1%.
Sebbene gli attacchi DDoS, un tipo di attacco informatico che mira a sovraccaricare un sistema fino a renderlo non disponibile per gli utenti legittimi, siano stati individuati come la minaccia più diffusa in diversi settori, ENISA osserva che il loro impatto sul trasporto è rimasto relativamente basso nell’ultimo periodo di riferimento. Più preoccupanti per gli operatori logistici sono gli attacchi ransomware e le compromissioni della supply chain, che possono interrompere operazioni sensibili ai tempi e generare rapidamente effetti a catena su altri settori, inclusi porti e corridoi merci.
Il phishing rimane il principale vettore di intrusione, rappresentando circa il 60% dei casi, anche a causa dell’ascesa di piattaforme di phishing-as-a-service che consentono campagne altamente mirate.
Perché phishing e ransomware restano così efficaci
Dal punto di vista della threat intelligence, gli attaccanti vedono sempre più spesso le aziende logistiche come punti di ingresso interessanti verso supply chain più ampie. Mohammad Kazem Hassan Nejad, Senior Threat Intelligence Researcher presso WithSecure, sottolinea che le dimensioni dell’azienda offrono poca protezione.
“Durante la guerra in corso in Ucraina, sono stati osservati attori di minaccia legati a Stati nazionali, come Sandworm, prendere di mira PMI della logistica e dei trasporti in diversi Paesi dell’UE, dimostrando che gli attaccanti non fanno distinzione in base alle dimensioni dell’azienda o alla maturità percepita.”
Secondo Hassan Nejad, il phishing rimane uno dei vettori di attacco più comuni ed efficaci, spesso fungendo da primo punto d’appoggio per incidenti più dannosi, come il ransomware.
“La cybersecurity non è più facoltativa nell’attuale ambiente digitale altamente interconnesso. Le aziende di tutte le dimensioni devono essere pronte a difendersi sia da minacce informatiche sofisticate sia da quelle opportunistiche.”
Esposizione della supply chain e sistemi vulnerabili
Più che da un singolo sistema debole, la vulnerabilità nel settore dei trasporti deriva spesso da ambienti interconnessi. ENISA evidenzia che gli attacchi alla supply chain tramite fornitori terzi e le dipendenze intersettoriali sono una preoccupazione crescente, soprattutto laddove sono ancora in uso sistemi legacy.
Il livello di maturità della cybersecurity varia ampiamente tra i sottosettori. L’aviazione è valutata come la più allineata ai requisiti di sicurezza attuali, mentre il trasporto su strada è tra i meno maturi, con il trasporto ferroviario e marittimo ancora fortemente dipendenti da tecnologie legacy.
Questa esposizione sistemica è confermata anche dai grandi operatori. Secondo Böröndy Levente, Chief Operating Officer di Waberer’s, la connettività con partner e subappaltatori crea un rischio intrinseco.
“I nostri sistemi sono connessi a quelli dei nostri partner e subappaltatori, quindi un attacco che colpisce una terza parte rappresenta un rischio anche per le nostre operazioni.”
Le aziende più piccole possono permettersi la cybersecurity?
Una domanda chiave per il settore è se le piccole e medie imprese di trasporto possano realisticamente permettersi una protezione adeguata. Hassan Nejad sostiene che il tema riguardi meno le soluzioni di livello enterprise e più la definizione di un livello minimo di sicurezza sostenibile.
Per il phishing, indica l’autenticazione a più fattori come misura di base ma altamente efficace, osservando che una MFA resistente al phishing aggiunge un ulteriore livello di protezione. Nel caso del ransomware, restano fondamentali backup affidabili.
“Backup regolari e affidabili sono essenziali. Per fare un passo avanti, le organizzazioni dovrebbero considerare pratiche di backup resistenti al ransomware, come la strategia di backup 3-2-1, lo storage immutabile e controlli di accesso rigorosi sui sistemi di backup.”
La supply chain e le cosiddette vulnerabilità “n-day” (debolezze note che restano senza patch) sono un altro rischio persistente. Mantenere visibilità degli asset, configurazioni sicure e sistemi aggiornati è essenziale, in particolare per i dispositivi esposti a internet.
La protezione degli endpoint non è più facoltativa, aggiunge Hassan Nejad.
“Le soluzioni di endpoint detection and response (EDR) e anti-malware sono di fatto obbligatorie. Queste soluzioni consentono rilevamento precoce, risposta automatizzata e contenimento degli attacchi.”
Per le aziende senza un security operations centre interno, i servizi di sicurezza gestiti possono offrire un’alternativa pratica, a condizione che gli alert siano configurati correttamente e monitorati attivamente.
Come i grandi operatori gestiscono le minacce quotidiane
Per i gruppi logistici più grandi, la cybersecurity è diventata una funzione operativa continua. Waberer’s opera con protezione di cybersecurity 24/7, con attacchi di diversa gravità rilevati ogni giorno. L’azienda monitora attivamente la propria impronta digitale e traccia l’attività sul dark web, preparandosi al contempo in anticipo alla conformità con la Direttiva NIS2.
Secondo Böröndy, questo approccio strategico offre vantaggi operativi tangibili, ma riflette anche la realtà per cui le minacce informatiche fanno ormai parte della gestione del rischio aziendale quotidiano, più che essere eventi eccezionali.
