Nel contesto attuale di forte evoluzione tecnologica, con un’elevata digitalizzazione e interconnessione degli impianti fotovoltaici, le cyberminacce sono un rischio sempre più vicino al settore energetico.
Il rischio di attacchi informatici, capaci di compromettere il funzionamento o addirittura di influenzare un intero sistema energetico, sono sempre più alti. In questo scenario, diventa cruciale capire come proteggere questi impianti e quali misure adottare per garantire la sicurezza delle infrastrutture energetiche digitalizzate.
Rischi della digitalizzazione nel settore energetico
Secondo Solar Power Europe, principale associazione del settore fotovoltaico europeo, la digitalizzazione è un’evoluzione naturale per il settore energetico. I vantaggi sono significativi: centrali elettriche più efficienti, gestione più flessibile dell’energia distribuita e maggiore reattività della rete rispetto alla domanda. Tuttavia, questa digitalizzazione ha un rovescio della medaglia, come dimostra il report di EMSC (European Solar Manufacturing Council) sulla sicurezza energetica nel settore fotovoltaico.
Vulnerabilità degli inverter
Come evidenziato dall’Ispettorato nazionale delle infrastrutture digitali dei Paesi Bassi e dall’EMSC, gli inverter fotovoltaici privi di marcatura CE possono interferire con altri apparecchi wireless e risultare vulnerabili a intrusioni informatiche per bug o errori del firmware, specie se connessi a servizi cloud poco sicuri.
Proprio per questo motivo, in seguito all’adozione del Net-Zero Industry Act, l’ESMC aveva richiesto l’introduzione di una “Inverter Security Toolbox”, ovvero di un sistema di monitoraggio e prevenzione di cyber-rischi simile a quello per le reti mobili 5G.
I pericoli insiti nel funzionamento degli inverter prodotti in Cina sono stati rilevati in USA già nel 2014 in occasione del workshop ECIR (Explorations in Cyber International Relations).
Nel mese di marzo 2025, i ricercatori dell’azienda di cybersecurity Forescout hanno individuato 46 vulnerabilità negli inverter solari di tre importanti fornitori, tra i quali due di essi hanno sede in Cina.
Dal report di Forescout, Sun:Down – Destabilizing the Grid via Orchestrated Exploitation of Solar Power Systems, emerge che le vulnerabilità sono rappresentate da:
- protocolli di comunicazione non sicuri
- sistemi operativi non aggiornati
- errori nella programmazione di pagine HTML
- mancata segmentazione della rete (posto che i dispositivi di controllo degli impianti fotovoltaici sono connessi alla rete aziendale)
Attacchi informatici
Gli attacchi informatici nel settore energetico sono aumentati negli ultimi anni. In particolare, secondo il Clusit (Associazione Italiana per la Sicurezza Informatica), tra il 2018 e il 2022 il numero di attacchi è raddoppiato, e solo nel primo trimestre del 2024 si è già registrato oltre la metà degli incidenti informatici rilevati nell’intero 2023.
Livelli di sicurezza
I differenti livelli di sicurezza riconosciuti nel mantenimento dei dati operativi degli impianti fotovoltaici tra UE e paesi extra UE rappresentano un altro fattore di criticità su cui possono far leva i cyberattacchi.
Come garantire un elevato livello di cybersecurity nel fotovoltaico?
Per contrastare queste minacce, l’Unione Europea ha adottato la Direttiva NIS 2 (Direttiva 2022/2555 del Parlamento Europeo e del Consiglio), volta a definire una comune strategia di cyber security in UE, che illustra agli stati membri misure strategiche e normative adeguate al fine di raggiungere e mantenere un livello elevato di sicurezza per prevenire attacchi alla rete.
Per gli impianti fotovoltaici, sia industriali che domestici, è fondamentale:
- cambiare regolarmente le password dei dispositivi
- mantenere aggiornati i software
- controllare le modalità di connessione dell’inverter ai servizi cloud
Un’attenzione particolare va ai router domestici, che permettono la connessione tra inverter e cloud. Se configurati in modo errato, possono aprire varchi di sicurezza. Alcuni prodotti, inoltre, presentano vulnerabilità strutturali che andrebbero valutate al momento dell’acquisto.
