Articolo dell’Avv. Lia Ruozi Berretta, Partner
***
Un tema molto nuovo ed ancora poco esplorato dal diritto è quello dell’automotive cybersecurity.
Può apparire bizzarro pensare alla propria automobile come un possibile bersaglio di attacchi informatici, ma, in realtà, si tratta di un argomento di crescente importanza, che si muove di pari passo con la digitalizzazione del settore automobilistico. Basti considerare, ad esempio, che una macchina di ultima generazione presenta tra le proprie componenti un computer di bordo, sistemi ADAS di assistenza alla guida (come il cruise control o il park assist), e consente la connessione di smartphone alla vettura tramite sistemi USB o Bluetooth. Si pensi, ancora, ai sistemi di self-driving, in cui la vettura è capace di “auto-guidarsi” anche senza l’intervento del conducente.
Tutto ciò determina, nelle nuove auto, la capacità di immagazzinamento di una notevole quantità di dati personali e la conseguente esposizione ad attacchi informatici. È già stato dimostrato in due occasioni, infatti, che un pirata informatico non avrebbe eccessive difficoltà a penetrare nei sistemi informatici di un’automobile. Si è trattato, in entrambi i casi, di test condotti da ricercatori di sicurezza informatica, eseguiti con l’obiettivo di garantire miglioramenti dei sistemi di sicurezza. Il primo caso risale al 2015, quando due informatici si sono infiltrati nel computer di bordo di una Jeep Cherokee, riuscendo ad intervenire sulla stazione radio, azionare i tergicristalli, ed infine a mettere l’auto in folle. Più recentemente, lo scorso agosto, dei ricercatori sono riusciti ad hackerare il sistema di una Tesla, sbloccando funzionalità a pagamento ed accedendo ad informazioni registrate nel sistema, come contatti e registro chiamate.
Proprio per queste ragioni, è fondamentale l’implementazione della normativa in materia di cybersecurity in campo automobilistico; tra le norme già esistenti, è da ricordare lo standard ISO/SAE 21434, che specifica i requisiti ingegneristici per la gestione del rischio di sicurezza informatica da osservare per tutta la durata di vita del prodotto. L’UNECE (United Nations Economic Commission for Europe), inoltre, ha adottato nel 2021 il Regolamento WP.29 R155, che introduce procedure di sicurezza per i veicoli connessi e per la protezione e sicurezza dei dati.
