L’attacco informatico che il 20 settembre ha colpito Collins Aerospace ha mandato in tilt i sistemi di check-in di alcuni dei principali aeroporti europei, tra cui Bruxelles, Berlino e Heathrow. Nel giro di poche ore, passeggeri bloccati ai banchi e voli cancellati hanno mostrato quanto il cuore delle infrastrutture critiche dipenda da una catena tecnologica interconnessa e fragile. La cybersicurezza non si presenta più come un aspetto tecnico da demandare agli specialisti, ma come un terreno che intreccia politica, diritto ed economia, incidendo sulla continuità dei servizi e sulla fiducia dei cittadini.
Obblighi della NIS2 e gestione delle notifiche
La direttiva NIS2, operativa dal 2024, ha esteso il raggio di azione della normativa, includendo non solo gli operatori aeroportuali ma anche i fornitori tecnologici che supportano i servizi essenziali. Collins Aerospace rientra quindi tra i soggetti obbligati ad adottare misure tecniche e organizzative robuste, a sottoporsi ad audit periodici e a implementare sistemi avanzati di gestione del rischio. La normativa impone anche tempistiche stringenti per le notifiche: un primo alert deve essere inviato alle autorità competenti entro 24 ore e una relazione tecnica dettagliata entro 72. Questo episodio rappresenta quindi una verifica concreta della reale efficacia delle procedure introdotte a livello europeo.
La questione non si esaurisce nel rispetto formale delle regole. La catena di fornitura, spesso affidata a contratti di outsourcing IT, diventa l’anello più debole quando non prevede clausole chiare di responsabilità. Aeroporti e compagnie aeree, danneggiati dai disservizi, potrebbero rivalersi sul fornitore dei sistemi compromessi. Al tempo stesso, Collins Aerospace potrebbe sostenere la natura eccezionale dell’attacco o puntare il dito su vulnerabilità locali. È evidente la necessità di rivedere i contratti con clausole precise, assicurazioni dedicate e standard di sicurezza vincolanti, in modo da ridurre l’incertezza giuridica che oggi grava sugli operatori.
Responsabilità, sanzioni e intreccio con il GDPR
Le autorità potrebbero applicare sanzioni significative qualora emergessero violazioni delle prescrizioni NIS2. La direttiva prevede multe fino a dieci milioni di euro o al due per cento del fatturato annuo globale. Ma l’impatto normativo non si limita alla cybersicurezza: i sistemi di check-in trattano dati sensibili dei passeggeri e ciò comporta l’obbligo di notifica anche alle autorità privacy. Qui si innesta il dialogo necessario tra NIS2 e GDPR, con aziende chiamate a dimostrare trasparenza, documentare procedure e provare di aver reagito nei tempi stabiliti. Un approccio che richiede accountability reale, non dichiarazioni di principio.
Guardando avanti, la vicenda rappresenta un monito per tutta l’Europa. Gli attacchi contro le infrastrutture critiche non sono episodi isolati ma parte di una strategia criminale e geopolitica destinata a intensificarsi. Servono sistemi di continuità operativa realmente testati, controlli rigorosi sui fornitori strategici e una cultura della sicurezza che entri nei processi di governance aziendale. In questo scenario, principi come sicurezza by design e by default devono tradursi in strumenti concreti, capaci di tutelare non solo le imprese coinvolte ma anche i cittadini che dipendono da servizi essenziali. La cybersicurezza, ancora una volta, dimostra di essere il terreno in cui regole giuridiche, scelte politiche e responsabilità industriali si intrecciano in maniera indissolubile.
