Cybersecurity industriale: cosa insegna l’attacco a Jaguar Land Rover e il ruolo dell’UE nel 2025

Industrie sotto attacco

Campanello d’allarme per le industrie, a cominciare da quelle europee.

Pesantemente colpiti a causa di una falla nel sistema security, due colossi del settore auto, Jaguar e Land Rover che hanno ripreso, parzialmente, la produzione in Gran Bretagna dopo sei settimane di interruzione a causa di un grave attacco informatico.

L’episodio, rivendicato dal gruppo hacker Scattered Spider, ha sfruttato una vulnerabilità nel software di terze parti SAP Netweaver utilizzato da JLR. L’incidente ha causato la chiusura degli stabilimenti di Halewood e Solihull, interrotte le produzioni per settimane e provocato ritardi nelle vendite. Per sostenere la ripresa, JLR ha annunciato che fornirà liquidità anticipata ai produttori fornitori. L’episodio evidenzia l’estrema dipendenza dell’industria manifatturiera moderna da complesse catene digitali e software di terze parti, la cui compromissione può paralizzare intere linee produttive. Questo rimette in discussione l’enorme importanza di una rigorosa politica di patch management per le applicazioni business-critical e come gli attacchi alle catene del valore (sia digitali che fisiche) rappresentino una delle minacce più insidiose e sistemiche nel panorama geopolitico attuale.

Opportuna l’iniziativa, dell’European Cybersecurity Month, organizzata ogni anno dalla Ue dal 1 al 31 ottobre per presentare le principali novità tecniche e normative e, quest’anno, con particolare riferimento anche agli sviluppi a seguito dell’attacco a Jaguar Land Rover nel Regno Unito.

Questa campagna 2025 pone particolare enfasi sul phishing come vettore primario di attacco, evidenziando che circa il 60% degli incidenti informatici parte da tentativi di phishing come, ad esempio e-mail fraudolente, siti falsi, social engineering.

La cybersicurezza non riguarda solo la tecnologia, ma la fiducia digitale, la sovranità tecnologica e la resilienza delle infrastrutture critiche, anche nei settori sanitari come ospedali e fornitori di servizi sanitari, per i quali la Ue sta tentando di definire un piano europeo specifico.

In Italia, e in altri Stati membri, sono previsti seminari, workshop, eventi di formazione e campagne divulgative rivolte sia al settore pubblico che privato, aziende, cittadini, scuole.

Il 2025, che si sta avviando alla conclusione, ha ancora attivo il Cyber Resilience Act, entrato in vigore nel dicembre dello scorso anno. Questo provvedimento ha segnato un periodo di transizione di 36 mesi per i requisiti principali, che comprendono aggiornamenti di sicurezza obbligatori per almeno 5 anni, obblighi di reporting di vulnerabilità/incidenti, marcatura CE per conformità ai requisiti essenziali.

La Direttiva è stata recepita in molti Stati membri; in Italia, con un decreto legislativo, entrerà formalmente in vigore il 16 ottobre 2025 con applicazione graduale. Inoltre, in Italia l’ACN ha emanato linee guida per l’adozione delle specifiche di base della NIS2. Questa direttiva è la principale legislazione dell’Unione Europea in materia di cyber sicurezza. È un aggiornamento e un potenziamento della precedente direttiva NIS (Network and Information Security).

Il suo scopo è stabilire un quadro giuridico unificato per accrescere il livello di cyber sicurezza a livello europeo, proteggendo le reti e i sistemi informativi dai crescenti attacchi informatici, soprattutto quelli che colpiscono i servizi essenziali per la società e l’economia.

Questo ottobre 2025 è un mese impegnativo, non solo per le imprese italiane, che si inserisce a pieno titolo in una stagione normativa europea chiamata a fronteggiare minacce informatiche sempre più sofisticate e imprevedibili.

L’attacco a Jaguar Land Rover è stato reso noto il 31 agosto 2025 ed ha costretto l’azienda a sospendere produzioni, chiudere impianti e bloccare molte operazioni IT.

Un danno gigantesco che ha indotto, da subito, le due case automobilistiche, a fermare la produzione annunciando  che avrebbero esteso il fermo fino al 1° ottobre, per concedere margini all’analisi forense e al ripristino sicuro.

L’attacco ha avuto impatti fortissimi, a catena, su tutta la supply chain dei fornitori, che sono stati colpiti da interruzioni, ritardi e perdite di reddito.

Il gruppo che ha rivendicato l’attacco è conosciuto come Scattered Lapsus$ Hunters, che pare avere collegamenti o somiglianze con gruppi noti come Lapsus$, Scattered Spider, ShinyHunters, gruppo definito da Microsoft come “Strawberry Tempest”. Attivo già dal 2021, ha colpito grandi aziende come Microsoft, Nvidia, Samsung, Uber.

A partire dal 7-8 ottobre 2025, JLR ha iniziato un riavvio graduale e controllato delle attività produttive, cominciando da impianti fondamentali come la produzione motori (Wolverhampton), assemblaggio batterie, e operazioni di stamping, body & paint nei siti chiave (Castle Bromwich, Halewood, Solihull).

Le priorità tecniche di riavvio hanno richiesto la totale ricostruzione dell’infrastruttura IT, verifica dell’integrità dei sistemi, controllo delle vulnerabilità, test di resilienza, isolamento delle reti, segmentazione nonché il monitoraggio continuo e auditing.

L’attacco ha evidenziato quanto la supply chain digitale sia un vettore di rischio strategico: se un nodo critico viene compromesso, le interdipendenze possono propagare il danno.

Elemento di primaria importanza il fatto che la JLR ha avviato uno schema di finanziamento accelerato per i fornitori, per mitigare il rischio che partner a valle falliscano o subiscano collassi finanziari. Questo è un intervento economico, ma con implicazioni operative: i fornitori riprendono l’attività, e devono garantire continuità e conformità alle nuove misure di sicurezza imposte.

Un fattore critico è stato l’interruzione dei sistemi automatizzati di pagamento dei fornitori, che ha aggravato le tensioni nella filiera. Il ritorno di questi sistemi è un passaggio essenziale per la stabilità operativa.

Il danno commerciale non è ancora quantificato ufficialmente, ma sono previste perdite per centinaia di milioni di sterline in trimestre, cali produttivi e impatti reputazionali.

Per questo, il Governo britannico ha offerto garanzie per un prestito da 1,5 miliardi di sterline per sostenere la filiera e accelerare il ripristino dell’intera produzione.

Attualmente, Jaguar e Land Rover collaborano con il National Cyber Security Centre nel Regno Unito per le indagini e il recupero degli asset compromessi.

Gli attaccanti stanno adottando tattiche più sofisticate con elementi di social engineering, strumenti automatizzati, attacchi a catena che richiedono contromisure evolute come il threat hunting e il threat intelligence.

Questo episodio, che ha toccato l’industria britannica delle auto, fa da “fa da banco di prova” per il Mese della Cybersecurity 2025 accentuando il focus sul phishing / vettori iniziali. Sebbene non ci siano ancora conferme ufficiali sulla modalità iniziale dell’attacco, l’attenzione al phishing da parte della campagna UE sottolinea come molti attacchi industriali iniziano con vettori “tradizionali” applicati a contesti complessi.

Tutto questo dimostra, ancora una volta, la fragilità della supply chain digitale. Le iniziative di sensibilizzazione possono capitalizzare su questo caso per promuovere misure di sicurezza estese anche ai fornitori e partner, non solo alle imprese “core”. Il caso mostra che non basta prevenire, bisogna investire per la sicurezza dell’impresa.

Gli aggressori dei sistemi agiscono indisturbati e, a tutt’oggi, non è stato chiarito come abbiamo potuto creare un danno di tale portata.

Il bilancio tra interventi emergenziali, dove i finanziamenti e le garanzie governative, oltre a incentivi strutturali per sostenere la trasformazione digitale sicura, sarà una sfida politica e tecnica.

Le imprese italiane dovranno agire al più presto con investimenti sempre più considerevoli nell’ambito della Cybesecurity. Il tempo a disposizione non permette altri rinvii.