Il Cyber Risk Management nel trasporto pubblico locale

Un campanello d’allarme che non si può ignorare

Il recente attacco che ha bloccato i sistemi digitali di alcuni tra i principali aeroporti europei ha mostrato come infrastrutture considerate sicure e avanzate possano essere messe in ginocchio in poche ore. I disservizi sono stati sotto gli occhi di tutti: check-in manuali, bagagli accumulati, passeggeri bloccati. Ma dietro quelle immagini si cela una lezione che riguarda da vicino anche il trasporto locale, pubblico e privato. Se nodi globali dotati di risorse e competenze elevate possono crollare di fronte a un attacco informatico, quanto più esposte risultano le reti urbane, frammentate, spesso meno aggiornate e prive di ridondanza?

Metropolitane, autobus, tram, treni e autolinee sono i pilastri della mobilità collettiva, tanto a livello locale quanto interregionale. Quando uno di questi sistemi si ferma, le conseguenze non si limitano a un calo di efficienza: toccano direttamente la vita delle persone, l’economia cittadina e il funzionamento del Paese. È qui che emerge la vera criticità del settore: la mobilità non è solo un servizio, è un’infrastruttura sociale ed economica che non può permettersi interruzioni.

Un ecosistema digitale e iperconnesso

La mobilità urbana e nazionale, così come le reti logistiche di trasporto merci, utilizzano ormai infrastrutture profondamente digitalizzate.
Oggi i titoli di viaggio sono spesso smaterializzati, i pagamenti passano da sistemi contactless, i mezzi comunicano costantemente con centrali operative attraverso sensori e telemetria, mentre le corse e i turni sono pianificate da algoritmi spesso basati su AI. Questi sono solo alcuni degli elementi in cui la gestione del servizio di trasporto è interamente basata su processi digitalizzati.

Tutto ciò ha reso i servizi di trasporto sempre più efficienti e più vicini alle esigenze dei cittadini, ma ha anche moltiplicato i punti di accesso e le relative vulnerabilità.
Inoltre, in sistemi così complessi e connessi, la vulnerabilità di un singolo nodo può innescare conseguenze a catena su qualsiasi altro elemento dell’infrastruttura.
Se una piattaforma di ticketing metropolitana viene colpita da ransomware, i tornelli potrebbero bloccarsi, causando quindi uno stato di crisi nell’intero sistema. Allo stesso modo, un attacco a un sistema di prenotazione ferroviaria può paralizzare gli spostamenti su scala nazionale, mentre un guasto a un software di gestione del traffico ferroviario può generare ritardi diffusi su intere regioni.

Il quadro normativo: la spinta della NIS2

La direttiva europea NIS2 ha reso esplicito ciò che era già evidente, cioè che la mobilità è un’infrastruttura critica e va protetta come tale. La direttiva, infatti, ha inserito gli operatori del trasporto pubblico locale, reti ferroviarie, autolinee, piattaforme di sharing e logistica, tra gli operatori essenziali o importanti, tenuti ad adottare processi strutturati di governance, sistemi di monitoraggio continuo e procedure di notifica rapida degli incidenti.

La portata della normativa è significativa perché sposta la questione dal piano tecnico a quello manageriale. Non è più sufficiente affidarsi a un reparto IT sottodimensionato: la sicurezza diventa responsabilità diretta del board. Le sanzioni previste per la non conformità sono rilevanti, ma il vero rischio è quello reputazionale. Un attacco che blocca la metropolitana di una capitale europea o che manda in tilt la biglietteria ferroviaria nazionale non si traduce solo in danni economici, ma mina la fiducia dei cittadini in modo profondo e duraturo.

Per molti operatori, soprattutto locali, questo è un salto culturale importante. Ma la NIS2 può diventare anche una leva per riorganizzare processi e risorse, spingendo a integrare la sicurezza nella governance quotidiana e a considerarla parte del valore del servizio, non un obbligo esterno.

Limiti degli approcci tradizionali

Nonostante la pressione normativa, la gestione del rischio cyber in molte realtà del settore rimane ancorata all’utilizzo di pratiche manuali.
Fogli Excel, interviste ai reparti e inventari statici creano un’illusione di controllo che non riflette la complessità dei sistemi attuali. Strumenti manuali e inventari statici non sono in grado di rappresentare infrastrutture in cui IT, OT e IoT si integrano in architetture sempre più complesse, producendo flussi di dati e connessioni che evolvono di continuo e che sfuggono inevitabilmente a logiche di controllo tradizionali.

Il vero limite non è solo nella lentezza con cui i dati vengono aggiornati, ma nell’assenza di una visione integrata che colleghi asset e processi. Senza un modello che mostri come i diversi sistemi dialogano, diventa impossibile valutare l’impatto reale di una vulnerabilità. Nel trasporto urbano questo si traduce in disservizi immediati per migliaia di utenti, mentre a livello nazionale un guasto trascurato può paralizzare linee ferroviarie o intere tratte di autobus interregionali. In entrambi i casi il risultato è lo stesso: la perdita di fiducia dei cittadini e la percezione di un servizio non affidabile.

Un nuovo modello: verso un Cyber Risk Management data-driven

Il settore dei trasporti, sia urbano che nazionale, non può più contare su metodi di gestione del rischio pensati per un contesto statico. Inventari sporadici, raccolte manuali di informazioni o controlli frammentari offrono solo una fotografia parziale, incapace di restituire la dinamica di sistemi che si trasformano di continuo, in questo scenario, una gestione statica del rischio non riesce a intercettare né la velocità né la propagazione delle minacce.

Per questo, un approccio data-driven consente di superare questi limiti, trasformando la mappa delle infrastrutture in un modello digitale che riproduce asset, processi e relazioni. Attraverso questa rappresentazione diventa possibile osservare come un’anomalia si diffonde, quali nodi vengono coinvolti e quali servizi rischiano di interrompersi. Non si tratta di scenari ipotetici, ma di strumenti che aiutano i decisori a misurare in anticipo le conseguenze operative ed economiche di un attacco e a scegliere con maggiore consapevolezza le strategie di mitigazione.

Per chi gestisce la mobilità urbana, questo significa monitorare in tempo reale sistemi critici come ticketing elettronico, centrali di pianificazione o piattaforme di infomobilità, con la possibilità di intervenire tempestivamente prima che un problema si trasformi in blocco. Per chi governa reti ferroviarie o autolinee, significa disporre di modelli predittivi capaci di mostrare come un guasto o un attacco possano propagarsi lungo tratte e nodi interregionali, valutando l’effetto domino sull’intero servizio.

La differenza non sta nella tecnologia in sé, ma nella capacità di integrare sicurezza e gestione del rischio nel ciclo operativo quotidiano. È un passaggio che cambia la natura stessa della cybersecurity: da funzione tecnica chiamata a reagire, diventa componente strutturale della governance dei trasporti, capace di garantire continuità anche in scenari di crisi. Per un settore che vive di affidabilità e regolarità, questo è l’unico modo per rafforzare la fiducia di cittadini e stakeholder e trasformare la conformità normativa in resilienza concreta.

La resilienza come priorità strategica

Il trasporto, locale e nazionale, è la spina dorsale delle città e dei territori.
La sua sicurezza non può più essere trattata come un tema secondario, ma come una priorità strategica che riguarda governance, reputazione e continuità economica. La resilienza digitale deve diventare il parametro con cui si misura la qualità dei servizi, per garantire l’aderenza alle normative, ma soprattutto la capacità concreta di mantenere in movimento persone e merci.

Il campanello d’allarme degli aeroporti ha mostrato quanto sia reale il rischio di paralisi delle infrastrutture critiche. Trasporti urbani e nazionali non possono attendere il prossimo incidente per agire.
Oggi la sfida è chiara, bisogna integrare la cybersecurity nella progettazione dei servizi e trasformarla in resilienza quotidiana, l’unico modo per garantire che metropolitane, autobus, tram e treni continuino a sostenere la vita delle nostre comunità.