Durante il weekend dal 19 al 21 settembre 2025, un attacco ransomware ha causato ritardi e cancellazioni di voli nei principali aeroporti europei, bloccando il sistema informatico utilizzato per la gestione dei check-in e degli imbarchi. Il software colpito, MUSE di Collins Aerospace, è una piattaforma condivisa da moltissimi aeroporti e compagnie aeree: la sua compromissione ha avuto un effetto domino sull’intero settore. Al momento non ci sono prove di furto di dati dei passeggeri, ma le indagini sono ancora in corso.
Consigli/azioni immediate:
- Verificare sempre lo stato dei voli prima della partenza.
- Proteggere le proprie credenziali di viaggio ed evitare di condividere dati sensibili.
- Segnala tempestivamente qualsiasi anomalia o comunicazione sospetta durante i processi di check-in.
Cosa è successo: cronaca dell’attacco
Nel fine settimana tra il 19 e il 21 settembre 2025, numerosi aeroporti europei come Heathrow, Bruxelles, Berlino, Dublino e Cork sono stati colpiti da improvvise interruzioni operative. Migliaia di passeggeri si sono trovati davanti a lunghissime file e procedure manuali per il check-in, con personale che si è dovuto adattare velocemente alla mancanza di risorse digitali.
La causa individuata dall’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) è stata un attacco ransomware, ovvero un’infezione informatica in cui dati e sistemi vengono bloccati dagli hacker che richiedono un riscatto per il rilascio[1]. Nessuna organizzazione criminale ha ancora rivendicato l’attacco e non è stato reso pubblico il tipo di ransomware usato.
L’importanza del sistema colpito
Il bersaglio principale è stato il Multi-User System Environment (MUSE) di Collins Aerospace, una delle più grandi aziende tech nel settore aerospaziale. Il sistema MUSE è oggi integrato in oltre 170 aeroporti mondiali: serve a gestire check-in, imbarco, bagagli e coordinamento fra compagnie e aeroporti. Prima dell’adozione di sistemi condivisi, ogni compagnia gestiva autonomamente i propri dati, ma la modernizzazione ha portato a una centralizzazione che aumenta l’efficienza ma moltiplica il rischio: se un attore malintenzionato attacca il sistema centrale, può mettere in difficoltà numerosi aeroporti in contemporanea.
Impatti diretti e indiretti
L’interruzione del sistema ha reso impossibile il normale flusso operativo:
- Le compagnie aeree hanno dovuto procedere con il check-in manuale, rallentando le procedure e causando ritardi a catena.
- Sono stati segnalati cancellazioni di voli last-minute, spesso senza preavviso per i passeggeri.
- Molti viaggiatori hanno lamentato problemi di comunicazione e incertezza sui tempi di ripristino.
- Bagagli e documenti sono stati gestiti con sistemi cartacei, aumentando il rischio di errori e smarrimenti.
Rischi di contagio digitale
Il principale pericolo messo in luce è la cosiddetta contagion risk: i sistemi condivisi fra più aeroporti e compagnie favoriscono la propagazione di attacchi ransomware. Un singolo vettore vulnerabile può generare interruzioni su scala continentale, come è successo con la piattaforma MUSE, e causare danni economici e operativi enormi.
Inoltre, si evidenzia il rischio di attacchi attraverso la supply chain: se un fornitore terzo viene colpito, l’attacco può espandersi a tutte le organizzazioni che si appoggiano ai suoi servizi, bypassando le barriere tradizionali della sicurezza informatica interna.
Evoluzione e risposta
Al momento della stesura, le indagini digitali delle autorità europee e dei team di sicurezza di Collins Aerospace sono ancora in corso. Non sono confermati furti di dati dei passeggeri, ma gli esperti invitano alla massima attenzione, perché l’analisi dei log e delle possibili esfiltrazioni richiede tempo.
Le compagnie aeree e gli aeroporti stanno lavorando per ripristinare gradualmente le infrastrutture colpite e rafforzare le misure di sicurezza. Come riportato da vari portavoce, il settore dell’aviazione dovrà necessariamente rivedere gli standard di cyber-resilienza e gestire meglio i rischi connessi ai fornitori terzi.
Lezioni apprese e prospettive future
Questo episodio mette in evidenza quanto sia fondamentale un piano di continuità operativa e di gestione delle crisi digitali per infrastrutture critiche come il trasporto aereo. L’esternalizzazione e la centralizzazione dei sistemi informatici obbligano a:
- investire in soluzioni di backup sicure e costantemente aggiornate;
- migliorare la collaborazione tra enti pubblici e privati nella gestione della sicurezza;
- formare il personale aeroportuale sulle procedure di emergenza e riconoscimento di possibili attacchi.
Possibili conseguenze a lungo termine
Gli aeroporti e le compagnie colpite dovranno analizzare nel dettaglio:
- la qualità delle infrastrutture digitali,
- la solidità delle procedure di gestione dei fornitori,
- i meccanismi di detection e risposta agli incidenti cyber.
La crescente sofisticazione degli attacchi ransomware impone una crescita costante degli investimenti in sicurezza e consapevolezza digitale. In futuro, è probabile che siano richiesti audit più frequenti, standard più alti per le aziende fornitrici di software di gestione aeroportuale e una maggiore trasparenza verso i passeggeri sulle problematiche di sicurezza.
Cosa fare se sei un passeggero coinvolto
- Consulta sempre le comunicazioni ufficiali della compagnia aerea e dell’aeroporto.
- Evita di fornire dati personali su siti o canali non ufficiali.
- Preparati a possibili procedure manuali e porta con te copia dei documenti essenziali di viaggio.
- Segnala subito eventuali anomalie nei processi di check-in o gestione bagagli.
Cosa devono fare aziende e aeroporti
Azioni di sicurezza avanzate:
- Implementare backup offline e strategie di ripristino rapido.
- Monitorare costantemente la supply chain digitale.
- Rafforzare la formazione del personale su phishing, ransomware e procedure di emergenza digitale.
- Collaborare attivamente con enti nazionali ed europei per la condivisione di informazioni di threat intelligence.
- Investire in sistemi di micro-segmentazione delle reti e cifratura dei dati sensibili.
- Simulare periodicamente attacchi informatici per testare e migliorare la resilienza delle infrastrutture critiche.
L’attacco ransomware che ha colpito gli aeroporti europei è un campanello d’allarme per tutto il settore dei trasporti: solo una strategia integrata fra tecnologia, formazione, collaborazione e trasparenza può ridurre significativamente i rischi e i danni futuri.
Fonte: https://cybersecuritynews.com/european-airport-ransomware-attack
