Il Caffettino di Mario Moroni

Ransomware blocca i check‑in in Europa: la conferma di ENISA e cosa rischiano i viaggiatori

File di passeggeri, banchi check‑in fuori uso, bagagli fermi: la sicurezza informatica non è più un tema da addetti ai lavori, ma il nuovo fattore di rischio del viaggio. L’Agenzia dell’Unione Europea per la cybersicurezza (ENISA) ha confermato che dietro i disservizi in diversi aeroporti europei c’è un attacco ransomware. Vediamo cosa è successo, perché un singolo fornitore può mettere in tilt mezzo continente e come prepararsi senza farsi cogliere di sorpresa.

Cosa è successo: la conferma di ENISA

ENISA ha confermato che un attacco ransomware è alla base dei disservizi che hanno colpito vari aeroporti europei, con sistemi di check‑in bloccati, ritardi e cancellazioni a catena. La notizia, riportata e approfondita da TechCrunch, chiarisce la natura dell’incidente: non un problema locale, ma un attacco che ha sfruttato la debolezza di un anello critico della catena dei fornitori IT aeroportuali.

Secondo quanto emerso, l’obiettivo è stato un fornitore chiave di sistemi per il check‑in utilizzati da più scali europei. Risultato? Code, riconfigurazioni d’emergenza e scali costretti a tornare a procedure manuali, con l’inevitabile effetto domino su orari e bagagli.

Il bersaglio: il fornitore di check‑in usato da più aeroporti

L’attacco ha preso di mira Collins Aerospace, azienda che fornisce (tra le altre cose) i sistemi di check‑in in diversi scali europei, inclusi hub in città come Berlino, Bruxelles e Londra. Quando un fornitore centrale finisce sotto attacco, il problema non rimane confinato: si propaga lungo il network di aeroporti e compagnie che dipendono da quella tecnologia.

Cos’è MUSE e perché un singolo blocco ferma tutti

Al centro c’è MUSE, il sistema “Multi‑User System Environment” che permette a più compagnie aeree di usare gli stessi banchi di check‑in e le stesse postazioni ai gate. È il cuore della logica “multi‑tenant” degli aeroporti moderni: massima efficienza, stessa infrastruttura condivisa.

Il rovescio della medaglia? Un singolo punto di fallimento. Se MUSE o servizi analoghi si bloccano, si ferma l’intero flusso: stampa delle carte d’imbarco, etichette bagagli, riconciliazione passeggero‑volo. Da lì a ritardi e cancellazioni il passo è breve.

Impatti concreti su passeggeri e aeroporti

  • Check‑in fuori servizio: impossibilità di emettere boarding pass e tag bagagli alle postazioni standard.
  • Ritorno al manuale: procedure su carta, liste passeggeri a mano, riconciliazioni lente.
  • Ritardi e cancellazioni: rotazioni equipaggi e aerei saltate, connessioni perse, riprotezioni complesse.
  • Bagagli fermi: smistamento rallentato, aumento dei “mishandled bags”.
  • Effetto domino: disservizi che si trascinano per giorni, anche dopo il ripristino tecnico.
  • Stress operativo: più personale in hall, meno risorse su sicurezza e assistenza, comunicazione ai passeggeri in affanno.

Questi impatti non sono un’anomalia. Sono la conseguenza logica di un settore iper‑digitalizzato dove ogni passaggio — dal DCS al baggage handling — dipende da sistemi integrati e da fornitori esterni.

Perché sta accadendo più spesso: il quadro europeo

Nell’ultimo quinquennio, gli attacchi a infrastrutture critiche europee — dai porti agli ospedali — sono aumentati in frequenza e complessità. Il trasporto aereo non fa eccezione: digitalizzazione spinta, integrazione di terze parti e catene di fornitura globali creano più efficienza, ma anche più superfici d’attacco.

La realtà è semplice: il digitale è il carburante del viaggio. Se il software si ferma, si ferma tutto. E i criminali sanno che colpire un fornitore condiviso amplifica l’impatto e la pressione a “pagare” o cedere a richieste.

Cosa succede adesso: indagini e ripristino

Il fornitore sta collaborando con gli aeroporti per ripristinare i servizi, mentre le autorità indagano su origine e portata dell’attacco. Nella prassi, la sequenza è nota: contenimento, bonifica, ripristino graduale, analisi forense. La priorità è riattivare i servizi core (check‑in e bagagli) riducendo al minimo il rischio di reinfezione.

Resta da chiarire se ci sia stata esfiltrazione di dati (passeggeri, prenotazioni, credenziali). Fino a conferme ufficiali, è corretto non speculare su numeri o gruppi responsabili. ENISA, intanto, ha alzato il livello di attenzione a livello europeo, come riportato da TechCrunch.

Tempi di ripresa e cosa aspettarsi

Il ripristino non è un interruttore: funziona per ondate, con sistemi che tornano online scalo per scalo, postazione per postazione. Anche dopo la “riaccensione”, i disservizi residui possono durare, perché vanno riassorbite code, bagagli accumulati e riprogrammati gli equipaggi. Tradotto: normalizzazione in giorni, non in ore.

Come prepararsi come viaggiatore (senza panico)

  • Controlla lo stato del volo sull’app della compagnia e dell’aeroporto prima di partire e prima di rientrare.
  • Arriva prima in aeroporto: un margine extra aiuta se il check‑in è rallentato.
  • Scarica la carta d’imbarco offline (wallet) e porta un documento stampato della prenotazione.
  • Viaggia leggero quando puoi: solo bagaglio a mano riduce il rischio di ritardi nello smistamento.
  • Porta una power bank: se si torna al manuale, l’attesa si allunga e serve batteria per aggiornamenti.
  • Conserva ricevute e prove per eventuali rimborsi o reclami in caso di ritardi/cancellazioni.
  • Valuta alternative (treno/auto) su tratte brevi se il tuo scalo risulta in forte sofferenza.

Cosa significa per compagnie e operatori

  • Gestione del rischio fornitori: audit di sicurezza, piani di continuità e SLA chiari su ripristini.
  • Ridondanza dei sistemi critici (check‑in, DCS, stampa tag) e procedure di failover testate.
  • Segmentazione e zero trust per limitare i movimenti laterali in caso di compromissione.
  • Backup offline e runbook per operatività manuale senza caos in hall.
  • Crisis communication proattiva con passeggeri e stampa: meno silenzi, più trasparenza.
  • Allineamento a NIS2: il trasporto rientra nelle infrastrutture essenziali, servono processi e governance.

Domande aperte

  • Attribuzione: chi c’è dietro l’attacco? Al momento non ci sono conferme ufficiali.
  • Dati: c’è stata esfiltrazione di informazioni personali o solo cifratura e blocco dei sistemi?
  • Portata: quanti scali e compagnie sono stati colpiti direttamente o per effetto indiretto?
  • Lezioni apprese: quali misure saranno adottate per evitare che un singolo fornitore diventi un punto di rottura sistemico?

In sintesi: la conferma di ENISA chiude il dibattito sulla causa e apre quello su resilienza e responsabilità nella catena dei fornitori. Il viaggio del futuro è digitale: o è sicuro, o non parte.

👉 Per scoprire tutti i dettagli e l’opinione personale di Mario Moroni, ascolta la puntata completa su Spotify.