Immagine in evidenza rielaborata con IA
Quanto è difficile parlare di cybersicurezza con le aziende. E ciò vale anche per quelle dei trasporti: un settore in apparenza lontano dagli attacchi dei cracker, ma che mostra invece parecchie vulnerabilità oltre a un ampio potenziale di rischio. Provare ad affrontare il tema della sicurezza informatica con alcune delle più grandi realtà del paese produce come minimo un irrigidimento; nel peggiore dei casi, il silenzio. Mail senza risposta, telefoni che squillano a vuoto, repliche vaghe: quasi nessuno si presta a rispondere alle domande del cronista, e molti si eclissano dopo un primo contatto di prammatica.
Prendiamo Autostrade per l’Italia (ASPI), la stessa società che qualche anno fa (non molti: era il 2018) finì sotto la lente di ingrandimento per il caso del ponte Morandi, crollato a Genova a metà agosto. Un disastro che aveva sollevato interrogativi profondi sui sistemi di controllo e sulla cultura della sicurezza del gruppo. Ci si aspetterebbe che queste procedure, fisiche e cyber, siano diventate il fiore all’occhiello del gruppo. E che – stando così le cose – non sia un problema comunicarlo all’esterno. Sbagliato. Svariati tentativi di contatto via email sono caduti nel vuoto. Non va meglio al telefono, con l’apparecchio dell’ufficio stampa che squilla senza che nessuno risponda. Quando si attiva la segreteria, lo fa solo per rimandare al medesimo indirizzo di posta elettronica, che rimane muto.
La società Movyon si definisce il “centro di eccellenza per la ricerca e innovazione del gruppo ASPI” e offre “soluzioni tecnologiche end-to-end per gestori di infrastrutture stradali e autostradali, pubbliche amministrazioni e service provider, supportandoli nella creazione di una mobilità più intelligente, accessibile, sostenibile e sicura a favore della comunità”. Il logo si trova, per esempio, sulle sbarre che si alzano e si abbassano ai caselli.
Sembra la porta giusta a cui bussare per parlare di cybersicurezza con ASPI. Del resto, la stessa Movyon sviluppa applicazioni tecnologicamente avanzate come quelle per il monitoraggio delle merci pericolose in viaggio sulla rete, il cosiddetto V2X (vehicle to everything): un sistema che, si legge nella presentazione, “monitora in tempo reale i veicoli che trasportano materiali pericolosi e avvisa i conducenti di eventuali situazioni di pericolo, come la presenza di altri veicoli con merci pericolose nelle vicinanze o situazioni anomale lungo la strada”. Il sistema non si limita al minimo indispensabile, ma, viene spiegato, arricchisce i messaggi con informazioni aggiuntive rispetto agli standard di settore. Lecito chiedersi: cosa succederebbe se venisse attaccato?
Estendendo il discorso, ci sono altre domande da porsi. Cosa accadrebbe se qualcuno tentasse di azzerare tutti i pedaggi, rubare i dati delle carte di credito degli automobilisti, o cambiare i messaggi nei cartelli a led che puntellano la rete, magari consigliando di effettuare deviazioni non necessarie al solo scopo di creare il caos? È già accaduto in passato? Quali misure sono state prese? Chi è il responsabile della sicurezza? Domande la cui risposta possiamo soltanto immaginare, perché neanche Movyon ha risposto alla nostra richiesta di contatto.
Anche il trasporto ferroviario non è esente da rischi cyber. Che possono riguardare gli apparati di gestione elettronica della rete e dei convogli, ma anche il sistema dei pagamenti. Nel mese di novembre 2025 un attore malevolo ha rubato e diffuso online 2,3 terabyte di dati di Almaviva (un provider di servizi web) e Ferrovie dello Stato, che a esso si appoggiava.
L’attacco è stato confermato dalla stessa Almaviva in una nota, dopo essere trapelato alla stampa. Secondo la rivendicazione dei cracker, il leak conterrebbe repository aziendali condivisi e documentazione tecnica riservata, inclusi contratti. Ma ci sarebbero anche dati personali dei passeggeri e dei dipendenti di quasi tutte le società del gruppo FS, da Mercitalia a Rete Ferroviaria Italiana, da Trenitalia a Italferr (da poco ribattezzata FS Engineering).
“L’episodio che ci riguarda è riconducibile a un accesso non autorizzato che ha interessato un vecchio data center in dismissione della società Almaviva”, rispondono le Ferrovie dello Stato a una richiesta di informazioni da parte di Guerre di Rete. “L’attenzione è concentrata sull’accertamento tecnico dei fatti, sulla tutela delle informazioni e sulla piena collaborazione con Almaviva, società obiettivo dell’attacco, e le autorità competenti”. Le FS non forniscono ulteriori dettagli “per rispetto delle indagini”, ma aggiungono che sono in corso “attività di verifica tecnica e monitoraggio di tutti i nostri sistemi”. Almaviva, viene spiegato dalle Ferrovie, ha “informato anche gli organismi competenti per la protezione dei dati personali, mentre il Gruppo FS collabora per ciò che riguarda tutti i profili di propria competenza”.
Che provvedimenti sono stati presi? “Appena emersa la vicenda, il Gruppo FS, grazie alla sinergia tra FS Security e FS Technology e in coordinamento con Almaviva e con le autorità, ha attivato tutte le misure di sicurezza e mitigazione necessarie”, risponde la società. “Sono stati predisposti backup alternativi, rafforzate le attività di monitoraggio e continuità operativa e condivise le azioni da intraprendere con le strutture di Security del gruppo e con gli organismi di vigilanza competenti. Parallelamente, prosegue il monitoraggio del web e dei canali specializzati per intercettare tempestivamente eventuali pubblicazioni di materiali riconducibili all’attacco. Anche Almaviva ha dichiarato di aver isolato l’attacco, attivato il proprio team specializzato e garantito la continuità dei servizi critici”.
FS definisce “fondamentale” il presidio dell’intera filiera tecnologica – considerando che tutti i grandi gruppi si avvalgono di fornitori che possono essere “bucati” – e ammette che non è sufficiente monitorare i sistemi interni. “I fornitori e i partner tecnologici sono tenuti a rispettare requisiti stringenti sul piano della sicurezza informatica, della protezione dei dati, della continuità operativa e della gestione degli incidenti. Tali presidi sono definiti nell’ambito dei rapporti contrattuali, dei processi di qualifica e delle verifiche periodiche, con livelli di attenzione coerenti con la criticità dei servizi affidati”. L’errore è sempre possibile, ed è in queste lunghe catene di fornitura che provano a infilarsi i cattivi della rete.
Già, il problema delle filiere. Sempre più complesse, e, per questo, sempre più vulnerabili. Pensare a un attacco al sistema ferroviario può spaventare, ma immaginare che sia il sistema di controllo di un aeroplano a essere bucato scatena il terrore. Guerre di Rete ha provato a contattare Ita Airways, compagnia di bandiera (o forse non più: dipende dai punti di vista) italiana. Alla nostra richiesta di intervista, gli uffici hanno opposto un no-comment. Non è stato possibile, dunque, parlare con il CISO (chief internet security officer, cioè il capo della sicurezza informatica) né domandare che tipo di procedure di sicurezza, almeno a livello basilare, siano prese a tutela dei viaggiatori.
Ma perché questa paura di parlare, quando si tratta di cybersecurity? A rispondere è l’ENAC, l’Ente nazionale per l’aviazione civile, che fa capo al governo ed è l’autorità che fissa le regole del settore in Italia basandosi su normative europee (come la NIS2) e nazionali. “La sicurezza, in generale, sta alle spalle dei processi operativi: per questo è prassi comune che non se ne parli, e che le misure prese non vengano condivise”, riflette l’ingegnere Sebastiano Veccia, a capo della sicurezza dell’ENAC. Nella sua interpretazione, “non è ritrosia, ma una forma di cultura di sicurezza: si fa, ma non si dice”.
Resta il fatto che il pubblico ha domande sul rischio di volare, soprattutto in tempi di guerre asimmetriche che coinvolgono obiettivi non militari. Chiediamo se è possibile far cadere un aereo per mezzo di un attacco informatico. “Mi sento di escluderlo”, risponde Veccia. “Certo, un caso molto diverso come quello dell’11 settembre insegna che tutto è possibile, ma si tratta di una probabilità estremamente bassa”. È possibile invece inserirsi nei sistemi di comunicazione con i piloti? “I sistemi di comunicazione tra l’aeromobile e la torre di controllo sono avanti anni luce”, risponde il dirigente.
E se invece qualcuno riuscisse a infiltrarsi nelle ditte che producono gli aeroplani, e quindi anche il software che li governa, per inserire codice malevolo? In fondo gli incidenti del Boeing 737 Max paiono legati a sensori difettosi e software. “È il problema ben noto dei cosiddetti insider nell’industria. In Italia e in Europa, per le figure che entrano a contatto con aree e attività sensibili, viene richiesto alle forze di polizia un controllo dei precedenti penali del soggetto. Per ruoli di particolare criticità si richiede, in aggiunta, un background check rafforzato, che non si limita ai precedenti penali, ma guarda anche agli ambienti e alle compagnie che la persona frequenta”. Indagini di intelligence che servono a capire se il soggetto è radicalizzato, o vicino ad aree politiche pericolose. “La prevenzione si fa a monte, e lo stesso approccio degli aeroporti vale anche per i costruttori aeronautici e chi fa manutenzione degli aeromobili. Anche per chi è incaricato di caricare i dati sui pc di bordo c’è una procedura blindata”.
Veccia è consapevole che la sicurezza è un gioco tra guardie e ladri: l’inseguimento è costante. Si prova a isolare i dispositivi critici dal mondo esterno. “Le chiavette di manutenzione vengono controllate, sterilizzate e infine distrutte. Non solo: in aviazione le stesse attività di controllo si espletano in loco e non, come spesso accade oggi, da remoto. La programmazione degli interventi di sicurezza è importante, così come lo è preparare una matrice dei rischi: perché il 90% delle emergenze è dovuto a cattiva pianificazione. Faccio comunque notare che energia nucleare e aeronautica sono sempre stati i due settori più controllati”.
La visione di Veccia è confermata da una nostra fonte interna al settore. Che, al tavolo di un ristorante, racconta come “negli ultimi trent’anni non ci sono mai stati due incidenti aeronautici per lo stesso motivo, e questo perché ogni volta che ne accade uno lo si analizza nei dettagli e si corre ai ripari. Questo, in altri settori dove le procedure sono molto più lasse, viene preso per eccesso di pignoleria”. Un esempio è quello dei trasporti marittimi, con i porti che rappresentano la via di ingresso privilegiata per le merci che finiscono sugli scaffali, per il petrolio, ma anche per molto altro.
Sarebbe sbagliato sottovalutare l’importanza della cybersicurezza nei porti: quantità enormi di merci viaggiano via mare. Ma ci sono anche droga, armi, materiale illegale. E persone. Si comincia dai controlli all’ingresso per camion e autoveicoli. Entrare liberamente nell’area portuale significa avere una sorta di lasciapassare, utilissimo se si sa dove mettere le mani. Sistemi di controllo esistono, certo. Ma, come racconta la nostra fonte, le maglie sono larghe: “Quando si fanno le gare di appalto, per esempio per le telecamere da installare, solitamente si sceglie il prodotto che ha il prezzo più basso, che di norma è cinese. Queste telecamere possono avere delle backdoor, delle porte software nascoste che sono in grado di esfiltrare i dati e che cambiano a ogni aggiornamento. In sostanza, non controllando la tecnologia che usiamo potremmo offrire a un paese straniero la possibilità di fare intelligence sulle nostre informazioni”. Pechino è la principale indagata.
Ma c’è di più. L’andirivieni di un porto è basato su un sistema di riconoscimento delle targhe automobilistiche: camion di autotrasportatori noti trovano porte aperte e sbarre alzate ai varchi. I controlli sono a campione. Facile capire come, con un attacco mirato, sia facile far entrare anche chi non sarebbe autorizzato. Basta inserire una targa in più nel gestionale e il gioco è fatto. Le procedure manuali sarebbero più efficaci, ma sono troppo lente per i volumi di traffico dei grandi hub. Senza considerare che gli spazi sulle banchine sono affittati e gestiti tramite un software gestionale estremamente complesso, che sa esattamente chi e dove farà cosa con mesi di anticipo: anche in questo caso, un cybercriminale che riuscisse a entrare nel sistema potrebbe creare il caos operativo, paralizzando le attività. Guerre di Rete ha contattato il porto di Gioia Tauro, principale scalo merci italiano: nessuna risposta, neanche dopo svariati tentativi telefonici e via mail. Ha risposto, invece, l’autorità portuale di Genova.
“In merito alla richiesta pervenutaci, siamo nella necessità di non poter aderire all’iniziativa proposta”, afferma la replica pervenuta tramite posta elettronica. “La cybersecurity costituisce un ambito di particolare sensibilità per le infrastrutture critiche nazionali, categoria alla quale i sistemi portuali appartengono a pieno titolo. La normativa vigente in materia, unitamente alle linee guida emanate dall’Agenzia per la Cybersicurezza Nazionale (ACN), raccomanda la massima prudenza nella comunicazione pubblica relativa a sistemi, procedure e strategie di protezione informatica. La policy dell’Ente prevede pertanto di non rilasciare interviste su tali tematiche al di fuori dei canali istituzionali preposti”. Insomma, nulla da dichiarare.
Il breve viaggio intrapreso offre un quadro allarmante. E le contromisure non possono essere solo tecniche. Veccia, dirigente dell’ENAC, sottolinea quanto la cultura aziendale giochi un ruolo centrale: “La formazione del personale è importante. C’è ancora chi lascia le proprie password attaccate al PC con dei post-it. Per questo va ribadito: anche se fare corsi può sembrare noioso ai dipendenti, quest’attività si rivela utile quando ci si trova di fronte a un caso sospetto, e si torna con la mente alle lezioni in aula per sapere come reagire”.
Ci sono anche altre questioni, più difficili da affrontare. Come spiega la nostra fonte, “molte delle soluzioni di cybersecurity nel nostro paese vengono vendute dallo stesso gruppo di persone, poche decine di soggetti che si conoscono tra loro e che possono essere avvicinati senza grossi problemi da chi è dotato di argomenti convincenti, e di una certa disponibilità economica”. Accade di continuo, spiega. Ma questo è un tema per un altro giorno.
L'articolo Le troppe falle nella cybersicurezza dei trasporti italiani proviene da Guerre di Rete.
This is to announce sed-4.10, a stable release.
It's been more than 3.5 years and quite a few new bug fixes.
Special thanks to Paul Eggert, Bruno Haible and Collin Funk
for all their help, and especially to Bruno for all the gnulib
support and thorough and indefatigable testing and analysis.
There have been 92 commits by 9 people in the 180 weeks since 4.9.
See the NEWS below for a brief summary.
Thanks to everyone who has contributed!
The following people contributed changes to this release:
Arkadiusz Drabczyk (2)
Ash Roberts (1)
Brun Haible (1)
Bruno Haible (5)
Collin Funk (5)
Hans Ginzel (1)
Jim Meyering (60)
Paul Eggert (16)
Weixie Cui (1)
Jim
[on behalf of the sed maintainers]
==================================================================
Here is the GNU sed home page:
https://gnu.org/s/sed/
Here are the compressed sources:
https://ftp.gnu.org/gnu/sed/sed-4.10.tar.gz (2.7MB)
https://ftp.gnu.org/gnu/sed/sed-4.10.tar.xz (1.7MB)
Here are the GPG detached signatures:
https://ftp.gnu.org/gnu/sed/sed-4.10.tar.gz.sig
https://ftp.gnu.org/gnu/sed/sed-4.10.tar.xz.sig
Use a mirror for higher download bandwidth:
https://www.gnu.org/order/ftp.html
Here are the SHA256 and SHA3-256 checksums:
SHA256 (sed-4.10.tar.gz) = TRef+vkuxNzsVB98Ayvhw7mhhW9JcK25WlBSIXAvUnc=
SHA3-256 (sed-4.10.tar.gz) = ftB7Hf2uN4RnayBEgasV7KmqZqCxBUj7e+Am6WDaiKk=
SHA256 (sed-4.10.tar.xz) = uOchgrLslqNXTimYxHt6qmTMIM4ADY6awxPMB87PKMc=
SHA3-256 (sed-4.10.tar.xz) = bVWJvXR28fvhgP1XTpej6t8V+Bh2YI1lL6aGBy1cG5c=
Verify the base64 SHA256 checksum with 'cksum -a sha256 --check'
from coreutils-9.2 or OpenBSD's cksum since 2007.
Verify the base64 SHA3-256 checksum with 'cksum -a sha3 --check'
from coreutils-9.8.
Use a .sig file to verify that the corresponding file (without the
.sig suffix) is intact. First, be sure to download both the .sig file
and the corresponding tarball. Then, run a command like this:
gpg --verify sed-4.10.tar.gz.sig
The signature should match the fingerprint of the following key:
pub rsa4096/0x7FD9FCCB000BEEEE 2010-06-14 [SCEA]
Key fingerprint = 155D 3FC5 00C8 3448 6D1E EA67 7FD9 FCCB 000B EEEE
uid [ unknown] Jim Meyering <jim@meyering.net>
uid [ unknown] Jim Meyering <meyering@fb.com>
uid [ unknown] Jim Meyering <meyering@gnu.org>
If that command fails because you don't have the required public key,
or that public key has expired, try the following commands to retrieve
or refresh it, and then rerun the 'gpg --verify' command.
gpg --locate-external-key jim@meyering.net
gpg --recv-keys 7FD9FCCB000BEEEE
wget -q -O- 'https://savannah.gnu.org/project/release-gpgkeys.php?group=sed&download=1' | gpg --import -
As a last resort to find the key, you can try the official GNU
keyring:
wget -q https://ftp.gnu.org/gnu/gnu-keyring.gpg
gpg --keyring gnu-keyring.gpg --verify sed-4.10.tar.gz.sig
This release is based on the sed git repository, available as
git clone https://https.git.savannah.gnu.org/git/sed.git
with commit 89b7a2224d4faa9d8baf76094b1232ad1477ef3e tagged as v4.10.
For a summary of changes and contributors, see:
https://gitweb.git.savannah.gnu.org/gitweb/?p=sed.git;a=shortlog;h=v4.10
or run this command from a git-cloned sed directory:
git shortlog v4.9..v4.10
This release was bootstrapped with the following tools:
Autoconf 2.73.1-b400b
Automake 1.18.1.91
Gnulib 2026-04-19 15211966deb52d4cae425c655177a815a88d3fc0
NEWS
* Noteworthy changes in release 4.10 (2026-04-21) [stable]
** Bug fixes
sed 's/a/b/g' (and other global substitutions) now works on input
lines longer than 2GB. Previously, matches beyond the 2^31 byte offset
would evoke a "panic" (exit 4).
[bug present since the beginning]
'sed --follow-symlinks -i' no longer has a TOCTOU race that could let
an attacker swap a symlink between resolution and open, causing sed to
read attacker-chosen content and write it to the original target.
[bug introduced in sed 4.1e]
sed no longer falsely matches when back-references are combined with
optional groups (.?) and the $ anchor. For example, this no longer
falsely matches the empty string at beginning of line:
$ echo ab | sed -E 's/^(.?)(.?).?\2\1$/X/'
Xab
[bug present since "the beginning"]
In --posix mode, sed no longer mishandles backslash escapes (\n,
\t, \a, etc.) after a named character class like [[:alpha:]].
For example, 's/^A\n[[:alpha:]]\n*/XXX/' would fail to match the
trailing newline, treating \n as a literal backslash and an 'n'
rather than a newline. This happened when an earlier backslash
escape in the same regex had already been converted, shifting the
in-place normalization buffer.
[bug introduced in sed 4.9]
sed --debug no longer crashes when a label (":") command is compiled
before the --debug option is processed, e.g., sed -f<(...) --debug.
[bug introduced in sed 4.7 with --debug]
sed no longer rejects the documented GNU extension 'a**' (equivalent
to 'a*') in Basic Regular Expression (BRE) mode. Previously, this
worked only with -E (ERE mode), even though grep has always accepted
it in BRE mode.
[bug present since "the beginning"]
sed no longer rejects "\c[" in regular expressions
[bug present since the beginning]
'sed --follow-symlinks -i' no longer mishandles an operand that is a
short symbolic link to a long symbolic link to a file.
[bug introduced in sed 4.9]
Fix some some longstanding but unlikely integer overflows.
Internally, 'sed' now more often prefers signed integer arithmetic,
which can be checked automatically via 'gcc -fsanitize=undefined'.
** Changes in behavior
In the default C locale, diagnostics now quote 'like this' (with
apostrophes) instead of `like this' (with a grave accent and an
apostrophe). This tracks the GNU coding standards.
'sed --posix' now warns about uses of backslashes in the 's' command
that are handled by GNU sed but are not portable to other
implementations.
** Build-related
builds no longer fail on platforms without the <getopt.h> header or
getopt_long function.
[bug introduced in sed 4.9]
Accedi