ROMA. Il 20 settembre 2025, un ransomware ha paralizzato i sistemi di check-in e imbarco forniti da Collins Aerospace, colpendo duramente gli aeroporti di Heathrow (Londra), Tegel (Berlino) e Zaventem (Bruxelles). Centinaia di voli cancellati, migliaia di passeggeri in coda per procedure manuali e un danno stimato in milioni di euro: questi attacchi, attribuiti a gang criminali organizzate, non sono solo un intoppo logistico, ma un campanello d’allarme per la cybersecurity infrastrutturale.
In un mondo dove le supply chain digitali sono il tallone d’Achille della difesa nazionale, come proteggere i settori critici dall’evoluzione delle minacce cyber?
Ne parliamo con Massimo Centofanti, co-founder di ai.esra, azienda specializzata in soluzioni AI per Cyber Security che propone approcci innovativi al Cyber Risk Management.
Dottor Centofanti, partiamo dai fatti di cronaca: l’attacco ransomware del 20 settembre ha causato caos negli aeroporti di Londra, Berlino e Bruxelles, con cancellazioni che si sono protratte fino a lunedì. Secondo l’agenzia UE ENISA, si tratta di un classico caso di estorsione via supply chain. Come interpreta questi eventi nel panorama cyber attuale, e quali vulnerabilità sistemiche rivela per l’aviazione europea?
L’attacco del 20 settembre va letto su due livelli.
Sul piano tecnico, si tratta di un ransomware veicolato attraverso la supply chain, un modello ormai prevalente che sfrutta la debolezza non tanto del singolo aeroporto o del singolo sistema IT, quanto della complessità delle catene di fornitura digitali.
Gli aeroporti moderni sono infrastrutture “a rete”, in cui convergono sistemi di controllo voli, gestione bagagli, turni del personale, pagamenti, logistica e manutenzione. Pertanto un attacco a un fornitore intermedio può avere un effetto domino su più hub continentali.
Sul piano sistemico, questo evento rivela varie vulnerabilità strutturali per l’aviazione europea.
In primo luogo un contesto dove il 70-80% delle piattaforme aeroportuali si appoggia a vendor esterni, la sicurezza reale non coincide più con il perimetro aeroportuale, ma con la robustezza complessiva dell’ecosistema supply chain; in secondo luogo gli aeroporti sono ambienti cyber-fisici e spesso i Security Operation Center hanno un monitoraggio frammentato dove i log dell’IT non dialogano con le telemetrie OT (controllo accessi, sistemi di pista, SCADA energia) e questo crea “blind spot” che favoriscono movimenti laterali e persistenza dell’attaccante.
Inoltre, sebbene la direttiva NIS2 estenda gli obblighi di cybersecurity agli operatori aeroportuali e ai fornitori critici, ancora dobbiamo passare dal modello “compliance-driven” al “resilience-driven” con test continui, cyber range, modelli di business continuity e piattaforme di gestione del rischio data-driven.
In sintesi, questo attacco non è solo un episodio di estorsione ma è un crash test per l’intero modello europeo di cyber-resilienza nel settore aviazione. La lezione è chiara serve un approccio federato, che unisca operatori aeroportuali, ENISA, EASA e fornitori in un ecosistema resiliente e condiviso, con regole di ingaggio comuni altrimenti, il rischio è che il prossimo attacco non causi solo cancellazioni di voli, ma una perdita strutturale di fiducia nella sicurezza e nell’affidabilità del trasporto aereo europeo.
Dal punto di vista della difesa nazionale, questi incidenti sollevano interrogativi su come le minacce cyber stiano evolvendo verso ibride forme di disruption, potenzialmente supportate da attori statali. Ai.esra, come startup italiana focalizzata su AI per la cybersecurity, come si posiziona in questo contesto? Quali innovazioni state sviluppando per anticipare e mitigare rischi simili nei settori critici come trasporti e infrastrutture?
Oggi non possiamo più ridurre il fenomeno al solo cybercrime a scopo economico.
Stiamo assistendo a una convergenza tra criminalità organizzata, hacktivismo e operazioni riconducibili ad attori statali.
Sono minacce ibride che non mirano soltanto all’estorsione, ma cercano di erodere la fiducia nei sistemi critici europei e settori come aviazione, energia, logistica e sanità sono ormai diventati veri e propri “obiettivi strategici” in una guerra di pressione asimmetrica.
Con ai.esra ci siamo dati una missione chiara: anticipare il rischio.
La nostra piattaforma è stata concepita non per reagire, ma per agire preventivamente, articolandosi su tre direttrici distinte ma complementari: visibilità real-time e dashboard dinamiche che consentono ai responsabili di sicurezza di avere una visione in tempo reale del profilo di rischio; analisi d’impatto e motore what-if attraverso la messa in relazione di asset, processi e dipendenze critiche per modellare la propagazione delle minacce e simulare scenari alternativi (path di mitigazione); Compliance continua e governance evolutiva che permette una valutazione costante dell’allineamento con framework regolatori (NIS2, DORA, ISO 31000, NIST, ecc.) e supporta le organizzazioni nell’evoluzione del modello di governance del rischio, rendendo la conformità un motore di miglioramento, non un vincolo statico.
In questa prospettiva, ai.esra non aspira a essere soltanto una startup tecnologica, ma un elemento strategico dell’ecosistema europeo di difesa cibernetica. Vogliamo offrire a governi, aziende strategiche e operatori di infrastrutture critiche lo strumento per passare da un modello “detect & react” a un paradigma “anticipate & orchestrate”, coerente con minacce ormai ibride, persistenti e intrinsecamente geopolitiche.
Guardando al futuro, con l’aumento delle minacce AI-driven – come deepfake o attacchi automatizzati – come immagina il ruolo della difesa cyber in un ecosistema integrato? E quali consigli pratici darebbe a governi e aziende per rafforzare la resilienza, ispirandosi a casi come quello degli aeroporti europei?
Le minacce AI-driven rappresentano il vero salto di paradigma.
Non parliamo più di attacchi manuali o opportunistici, ma di campagne automatizzate, scalabili e capaci di adattarsi in tempo reale.
I deepfake utilizzati per frodi finanziarie o per disinformazione, i malware che apprendono dai sistemi difensivi e le piattaforme criminali che sfruttano LLM per costruire phishing sempre più credibili, sono già una realtà.
In questo contesto, il ruolo della difesa cyber deve evolvere verso un ecosistema integrato che unisca diverse dimensioni.
Si rende necessaria un’alleanza tra sistemi di detection basati su AI, capacità predittive di piattaforme come ai.esra e la human-in-the-loop per garantire giudizio critico, etico e strategico.
Bisogna creare federazioni di resilienza, scambio di indicatori in tempo reale tra aziende, governi e agenzie europee (ENISA, CERT-UE), con linguaggi comuni come MITRE ATT&CK e OCSF per superare la frammentazione.
Ai governi consiglierei tre azioni concrete: investire in cyber-intelligence predittiva, integrando feed geopolitici, threat intelligence e modelli di rischio AI; creare centri nazionali di simulazione e addestramento congiunti pubblico-privati, così da allenare la risposta coordinata a scenari di deepfake, ransomware e qualsiasi tipo di attacco transfrontaliero; favorire la sovranità tecnologica europea poiché senza algoritmi, cloud e AI governati da logiche europee, resteremo dipendenti da attori extra-UE.
Alle aziende critiche, invece, suggerisco un cambio di mentalità, passando dal “compliance check” alla resilienza misurabile, con KPI di rischio, esercitazioni continue e partnership di intelligence.
Cosa aspettarci per il prossimo futuro?
Il caso degli aeroporti ci dice che nel futuro prossimo, non sarà più sufficiente “alzare i muri” contro gli attacchi ma bisognerà imparare a vivere in un ecosistema continuamente stressato, orchestrando difesa, governance e fiducia collettiva.
Questo, più che mai, è ciò che determinerà la sovranità e la sicurezza dell’Europa digitale.
©RIPRODUZIONE RISERVATA