In alcuni aeroporti europei la giornata del 20 settembre 2025 è iniziata con code, ritardi e cancellazioni. A bloccare il traffico non è stato un guasto tecnico isolato, ma un attacco informatico che ha colpito i sistemi di check-in e imbarco forniti da un operatore esterno, Collins Aerospace.
Con effetti a cascata su scali di primo livello come Heathrow, Berlino e Bruxelles. Collins Aerospace, divisione di RTX e principale fornitore del software MUSE che alimenta postazioni self-service in numerosi scali internazionali, ha confermato la natura “cyber-related” del problema, senza tuttavia fornire indicatori di compromissione o ulteriori dettagli pubblici.
Mutuo 100% per acquisto in asta
assistenza e consulenza per acquisto immobili in asta
“Il solito attacco ai piccoli fornitori e nel week-end”, commenta Corrado Giustozzi, Founding Partner & Chief Strategist, Rexilience, componente del Comitato Scientifico di Clusit, “segno che la Nis 2 va nella direzione giusta per mettere in sicurezza la supply chain perché, nella cyber, è come la teoria della complessità: un battito d’ali di farfalla in Brasile può provocare uno tsunami in Indonesia”.
“L’attacco dimostra la potenziale debolezza della catena tecnologica e di fornitori che sostiene i servizi sempre più digitalizzati”, conferma Luca Bechelli, Information & cyber security advisor P4I – Partners4Innovation.
Cyber attacco ad aeroporti europei: tutto quello che si sa
“L’attacco informatico che ha colpito Heathrow, Bruxelles e Berlino Brandeburgo conferma la fragilità delle supply chain digitali e rafforza la necessità di dover preservare le filiere delle infrastrutture critiche con elevati standard di sicurezza informatica”, avverte Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
“L’impatto è limitato al check-in elettronico dei clienti e alla consegna dei bagagli e può essere mitigato con operazioni di check-in manuale”, ha affermato RTX in una dichiarazione inviata via e-mail, aggiungendo che sta lavorando per risolvere il problema il più rapidamente possibile.
Richiedi prestito online
Procedura celere
L’attacco ha reso inutilizzabili i sistemi automatizzati, consentendo solo procedure manuali di check-in e imbarco, ha dichiarato l’aeroporto di Bruxelles sul proprio sito web, aggiungendo che l’incidente si è verificato venerdì sera.
I problemi causati dall’attacco cyber agli aeroporti
I chioschi self-service e i terminali automatici, che gestiscono le operazioni di check-in, stampa delle carte d’imbarco e bag-drop, sono diventati inutilizzabili. Questo significa che tutto il processo che normalmente avviene in pochi minuti si deve svolgere manualmente: gli operatori devono controllare i documenti, inserire le prenotazioni nei sistemi e stampare carte d’imbarco a mano.
Ogni passeggero richiede quindi più tempo, e il personale, pur esperto, non può sostenere lo stesso flusso rapido dei chioschi, causando code lunghe e ritardi.
Un altro effetto immediato riguarda i bagagli. I sistemi automatici di smistamento dipendono dalla corretta registrazione dei tag bagaglio generati dai chioschi e dalle postazioni self-service. Quando questi sistemi non funzionano, il bagaglio deve essere registrato manualmente, aumentando il rischio di errori e rallentando l’imbarco. I ritardi dei voli, in questo contesto, diventano inevitabili, perché i passeggeri arrivano in ritardo ai gate, le procedure di sicurezza richiedono più tempo e le compagnie aeree devono adattare i piani di imbarco.
Dal punto di vista della gestione operativa dell’aeroporto, l’attacco ha creato un aumento del carico di lavoro per il personale di terra, che deve coordinare procedure manuali, verificare i documenti, monitorare i gate e gestire eventuali proteste dei passeggeri.
“L’attacco che ha colpito i sistemi di Collins Aerospace, causando ritardi e cancellazioni in aeroporti come Heathrow, Berlino e Bruxelles, dimostra quanto le infrastrutture critiche del trasporto aereo siano vulnerabili alle minacce informatiche. Quando un fornitore centrale viene compromesso, l’impatto non resta circoscritto ma si amplifica a livello internazionale, con conseguenze immediate per migliaia di passeggeri, oltre che con danni economici e reputazionali ingenti”, afferma Dario Fadda, collaboratore di CyberSecurity360.
Attacco supply chain
La dinamica osservata suggerisce un incidente tipico di supply chain: più aeroporti dipendono da un’unica piattaforma centralizzata e la compromissione del fornitore si traduce in un’interruzione simultanea su più punti geografici.
“In tale direzione si muove la direttiva NIS2. L’attacco mostra che non serve colpire direttamente un’infrastruttura critica per causare caos, è sufficiente compromettere un fornitore per avere impatti diffusi e potenzialmente devastanti”, mette in guardia Paganini.
Assistenza e consulenza
per acquisto in asta
“Il presidio dei rischi è essenziale per ogni organizzazione per identificare le dipendenze critiche, definire possibili contromisure o processi alternativi come quelli messi in atto in questa situazione specifica”, aggiunge Luca Bechelli.
Possibili ipotesi techiche
In termini tecnici, la plausibilità di uno scenario di ransomware o wiper sui server centrali è alta, così come quella di un attacco di denial of service mirato a rendere inaccessibili le API che collegano i terminali aeroportuali con il backend.
Non è da escludere nemmeno la possibilità di una compromissione di credenziali o certificati utilizzati per l’autenticazione dei sistemi locali verso l’infrastruttura cloud del fornitore. Tutte ipotesi che spiegano l’improvvisa impossibilità dei chioschi di autenticarsi e ricevere risposte, costringendo il personale a tornare a procedure manuali.
Un elemento chiave va chiarito subito: al momento non ci sono evidenze che i sistemi di controllo del traffico aereo o l’avionica siano stati colpiti. L’incidente ha riguardato esclusivamente i servizi rivolti ai passeggeri, ma l’impatto operativo è stato comunque significativo. La gestione manuale dei flussi di imbarco e dei bagagli aumenta il carico di lavoro per gli operatori e accresce il rischio di errore umano, con conseguenze che non sono soltanto reputazionali ma anche di sicurezza fisica.
Dal punto di vista forense, gli aeroporti e le compagnie aeree stanno raccogliendo log e telemetrie per capire se vi siano state attività malevole oltre alla semplice interruzione. I segnali da monitorare sono molteplici: errori TLS ripetuti nei collegamenti verso i server centrali, fallimenti di autenticazione API in sequenza, crash anomali dei processi MUSE nei terminali locali, anomalie nei file di configurazione o improvvise modifiche nei certificati utilizzati dai servizi. L’assenza di indicatori pubblici ufficiali, al momento, rende difficile il lavoro di threat hunting, che si affida a pattern generici di anomalia piuttosto che a firme precise.
Il caso mette in luce ancora una volta la fragilità della catena di fornitura digitale. Gli scali aeroportuali sono da tempo segmentati e dotati di sistemi di sicurezza a più livelli, ma la dipendenza da provider esterni resta un punto debole strutturale. Quando l’elemento critico non è interno ma si trova nel cloud di un partner, i margini di contenimento immediato sono ridotti.
Le contromisure possibili passano soprattutto dalla preparazione preventiva: segmentazione delle reti interne, ridondanza delle soluzioni di check-in, piani di fallback testati regolarmente e soprattutto accordi contrattuali che obblighino i fornitori a condividere indicatori di compromissione e timeline dettagliate in caso di incidente.
La tua casa è in procedura esecutiva?
sospendi la procedura con la legge sul sovraindebitamento
Aspetti comunicativi
Sul piano comunicativo, l’incidente ha costretto le autorità aeroportuali a rassicurare i passeggeri sulla sicurezza dei voli e a spiegare le ragioni dei ritardi. È un passaggio delicato, perché l’opinione pubblica tende ad associare qualsiasi “cyber attack” al rischio per il volo stesso, mentre in questo caso l’ambito colpito è stato diverso. Proprio la distinzione tra disponibilità dei servizi a terra e sicurezza del traffico aereo dovrà essere al centro delle informazioni trasmesse ai media.
Regolatori
Resta infine l’aspetto regolatorio. La normativa europea in materia di NIS2 e la disciplina nazionale sugli operatori di servizi essenziali prevedono obblighi stringenti di notifica agli organismi di riferimento. L’incidente odierno, per la sua natura e per l’impatto sui passeggeri, rientra senza dubbio tra gli eventi da segnalare. Sarà quindi interessante osservare come i diversi Paesi coinvolti coordineranno la risposta e quali misure verranno chieste ai fornitori di servizi critici per garantire un livello minimo di resilienza.
“Possiamo ora riflettere sul fatto che la digitalizzazione del settore aereo deve andare di pari passo con investimenti mirati in sicurezza e resilienza”, spiega Dario Fadda: “Ridondanza operativa, segmentazione delle reti e un monitoraggio costante delle minacce sono necessità sempre più di primo piano”.
Un single point of failure dietro l’attacco cyber agli aeroporti europei
Se la ricostruzione attuale troverà conferma, siamo di fronte a un caso emblematico di “single point of failure” a livello di supply chain digitale.
“La Nis (1), in vigore dal 2016, aveva già messo in sicurezza le infrastrutture critiche, ma ora capiamo perché l’Europa insiste, con la Nis2, a voler mettere in sicurezza le aziende intermedie e le catene di fornitura”, avverte Corrado Giustozzi: “Sempre più spesso, gli attacchi cyber non colpiscono tanto il soggetto critico, ma il fornitore del soggetto critico: colpendo la supply chain si fermano quelli che usano il servizio, rendendo l’attacco importante attraverso l’attacco al tallone d’Achille, la vulnerabilità sistemica”.
Un avvertimento per l’intero settore del trasporto aereo: la sicurezza informatica non può più essere confinata all’interno delle mura dell’aeroporto, ma deve estendersi a tutti i partner tecnologici, con controlli, audit e piani di continuità che tengano conto delle nuove modalità di attacco. Come del resto chiede la Nis2.
Richiedi prestito online
Procedura celere
“I disagi ai passeggeri e le cancellazioni dimostrano come la cyber security debba essere parte integrante della resilienza dei trasporti europei, con più investimenti in difesa e cooperazione tra pubblico e privato”, conclude Paganini.
“Dove c’è tecnologia, deve esserci un approccio consapevole non solo in fase di adozione, ma anche nel continuo”, sottolinea Luca Bechelli.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
