Con l'aumento dei veicoli elettrici in Italia (alla fine del 2024, in Italia circolavano tra 220.000 e 250.000 veicoli 100% elettrici), si apre un nuovo campo di gioco per i criminali informatici. Le stazioni di ricarica stanno diventando obiettivi primari per varie forme di attacco.
Secondo l'Automotive & Smart Mobility Global Cybersecurity Report 2025 di Upstream, nel 2024 si è registrato un forte aumento degli attacchi informatici, con un rischio particolare legato ai veicoli elettrici durante la ricarica.
Le principali minacce alla sicurezza durante la ricarica
Frode con falsi codici QR
Una delle tecniche più diffuse è l'apposizione di falsi codici QR sui punti di ricarica pubblici. Scansionandoli, gli utenti vengono reindirizzati a portali di pagamento fraudolenti, dove vengono truffati del denaro o dei dati bancari. Questo metodo è noto anche come "quishing". Per gli utenti, la manipolazione viene spesso scoperta solo quando si rendono conto che il loro veicolo non è in carica.
Attacchi informatici agli operatori di rete
I gruppi criminali non prendono di mira solo i singoli punti di ricarica, ma anche gli operatori delle reti di ricarica. Utilizzano metodi classici come il phishing, il malware o lo sfruttamento delle vulnerabilità del software. Nel novembre 2024, un hacker ha pubblicato 116.000 record di dati sensibili rubati attraverso una vulnerabilità in diverse stazioni di tutto il mondo, esponendo informazioni come i nomi dei clienti e i numeri di serie dei veicoli. Questi attacchi consentono ai criminali informatici di accedere a serie di dati sensibili, tra cui i dati bancari degli utenti.
Riprogrammazione malevola dei chioschi
La vulnerabilità fisica dei punti di ricarica li rende particolarmente vulnerabili agli atti di vandalismo, sia hardware che software. Gli hacker possono riprogrammare i punti di ricarica per dirottare le informazioni, fornendo un mezzo efficace per raccogliere e utilizzare i dati sensibili degli utenti. Un chiosco infetto può anche essere utilizzato come punto di ingresso per estendere l'attacco all'intera rete, compromettendo potenzialmente i veicoli connessi attraverso l'iniezione di malware o sovraccaricando il sistema creando una falsa domanda. Negli scenari più drammatici, ciò potrebbe arrivare a destabilizzare le reti elettriche locali, causando interruzioni diffuse.
Mouse jacking e altri attacchi diretti
Il momento della ricarica rappresenta un periodo di maggiore vulnerabilità per i veicoli elettrici a causa della sosta prolungata. Il "mouse jacking" è uno di questi metodi. Si tratta di entrare nella chiave dell'auto o direttamente nel suo sistema elettronico. In teoria, questa tecnica potrebbe consentire agli hacker di prendere il controllo del veicolo attraverso il punto di ricarica o di modificare i parametri del veicolo sfruttando le falle nei punti di ricarica.
Le soluzioni di sicurezza sviluppate da Virta
In risposta a queste minacce, Virta ha sviluppato un approccio a 360° alla gestione della sicurezza. L'azienda ha istituito un sistema di gestione della sicurezza delle informazioni (ISMS) gestito da un team dedicato. Questo approccio fa parte di un processo continuo, con un sistema di gestione dei rischi per tenere il passo con l'evoluzione delle minacce. Tutti i rischi identificati vengono assegnati a un proprietario e gestiti in modo appropriato.
Certificazioni riconosciute a livello internazionale
Per garantire il massimo livello di sicurezza, Virta ha ottenuto diverse certificazioni internazionali di prestigio. L'azienda è certificata ISO 27001, uno standard di sicurezza informatica riconosciuto a livello internazionale che garantisce l'attuazione di rigorosi controlli di sicurezza per proteggere i dati dei clienti. Inoltre, Virta ha ottenuto la certificazione Service Organizations Controls (SOC) 2 Type 2 per la sicurezza e la disponibilità (uno standard di audit sviluppato dall'American Institute of Certified Public Accountants (AICPA)).
Protezione dei servizi e delle interfacce online
Il sistema backend di Virta è sviluppato in conformità con le rigorose linee guida di sicurezza interne. Per lo sviluppo delle applicazioni, l'azienda utilizza l'OWASP ASVS (Application Security Verification Standard) come punto di riferimento e fornisce ai suoi sviluppatori una formazione sullo sviluppo sicuro. Tutte le modifiche vengono esaminate prima di essere distribuite e testate in un ambiente di prova prima di essere messe in produzione, con una tracciabilità completa delle modifiche.
Virta effettua regolarmente scansioni delle vulnerabilità, valutazioni della sicurezza e test di penetrazione. Qualsiasi problema rilevato viene analizzato e le patch e le misure di mitigazione appropriate vengono rapidamente distribuite.
Protezione dei dati e protocolli sicuri
Virta utilizza protocolli di comunicazione sicuri lungo tutta la catena dei dati. Per contrastare la minaccia dei codici QR falsi, l'azienda utilizza codici QR unici sui chioschi dotati di schermi. Per i chioschi più vecchi, la connessione è protetta dall'applicazione mobile. La sicurezza delle apparecchiature viene costantemente adattata dai produttori e da Virta, grazie ai cambiamenti dei protocolli di comunicazione e delle normative O.C.P.P (Open Charge Point Protocol).
I dati dei clienti e degli utenti sono archiviati esclusivamente nell'Unione Europea o nel continente europeo, sul Cloud Amazon AWS. L'accesso a queste risorse è strettamente limitato a personale specifico, con diritti di accesso concessi solo sulla base di esigenze aziendali convalidate e riviste annualmente. Virta raccoglie solo le informazioni di identificazione personale necessarie per fornire i servizi e tali dati vengono conservati solo per il tempo necessario.
Infrastruttura moderna e pagamenti sicuri
I sistemi IT non dipendono da un unico centro dati, il che li rende più resilienti. Una pipeline di distribuzione automatizzata assicura che l'ambiente di produzione sia sempre in esecuzione con le ultime patch di sicurezza installate, e qualsiasi deviazione viene monitorata con scansioni continue delle vulnerabilità.
Per i pagamenti, Virta ha adottato misure speciali per proteggere i dati sensibili degli utenti. I dati delle carte di credito/debito vengono elaborati e archiviati dal partner Payment Highway, che ha ottenuto la certificazione PCI-DSS (Payment Card Industry Data Security Standard), garantendo il massimo livello di sicurezza per le transazioni finanziarie.
La sicurezza dei punti di ricarica per veicoli elettrici rappresenta una sfida importante in un momento in cui gli attacchi informatici sono sempre più numerosi e sofisticati. I rischi sono vari e vanno dal furto di dati personali a scenari più preoccupanti come il controllo dei veicoli o la destabilizzazione delle reti elettriche. In risposta a queste minacce, Virta ha sviluppato un approccio globale e proattivo alla sicurezza, basato su certificazioni internazionali, protocolli sicuri, un'infrastruttura moderna e test regolari.
