Cyberattacco contro aeroporti europei: che è successo davvero

Cyberattacco su Bruxelles, Berlino e Heathrow: check-in in tilt, ritardi e cancellazioni. Guida all’impatto e alle mosse giuste per chi vola.

Bruxelles, Berlino e Heathrow a Londra hanno subito un cyberattacco contro aeroporti europei che ha colpito il fornitore dei sistemi di check-in e imbarco utilizzati da più scali. Il risultato è stato immediato e visibile: procedure manuali, ritardi, cancellazioni e code prolungate ai banchi. L’evento è maturato nelle prime ore di sabato 20 settembre 2025, centrando il picco di partenze del weekend e trasformando un guasto digitale in un blocco operativo che ha interessato migliaia di passeggeri. Gli scali coinvolti hanno attivato i piani di continuità, invitando i viaggiatori a presentarsi con anticipo, a verificare lo stato del volo con la compagnia e a mettere in conto tempi più lunghi per l’accettazione e l’imbarco.

L’attacco ha sfruttato la dipendenza strutturale degli aeroporti da un provider centrale che eroga, in modalità gestita, le piattaforme di check-in e boarding (interfacce ai banchi, stampa carte d’imbarco e bag tag, sincronizzazione con i sistemi delle compagnie aeree). Quando una di queste infrastrutture condivise si ferma, l’impatto si moltiplica in tutti gli scali che la utilizzano. In assenza di un attributo ufficiale sugli autori e sulle tecniche utilizzate, la priorità è stata riportare i servizi al livello minimo garantito. Per i passeggeri il messaggio è pragmatico: monitorare l’operativo, seguire le istruzioni dello scalo e della compagnia, limitare il bagaglio da registrare dove possibile e tenere flessibilità su coincidenze e orari.

Un nuovo cyberattacco contro alcuni aeroporti europei

Che cosa è successo e perché conta per chi viaggia oggi

La dinamica, ricostruita con la regola delle 5W e con le informazioni confermate dagli scali, è lineare nella sua criticità. Chi: un attore ostile ha preso di mira un fornitore informatico che serve più aeroporti europei. Che cosa: è stata colpita la catena di servizi che consente alle compagnie aeree di operare ai banchi condivisi, di emettere carte d’imbarco e di validare l’imbarco ai gate. Quando: nelle prime ore di sabato 20 settembre 2025. Dove: in modo visibile ai passeggeri a Bruxelles, Berlino e Heathrow. Perché: perché gli aeroporti moderni adottano piattaforme common-use per standardizzare e ridurre i costi, con un inevitabile punto di concentrazione del rischio. Questo attacco informatico agli aeroporti ha evidenziato come un malfunzionamento nella supply chain digitale possa innescare un effetto domino su check-in, bagagli e boarding.

Per chi è in viaggio, il significato pratico è chiaro. Senza i sistemi automatizzati, il check-in torna analogico: si verifica l’identità a mano, si emette la carta in modalità fallback, si stampano i bag tag con procedure d’emergenza e si aggiornano manualmente le liste passeggeri per i gate. Ogni passaggio richiede tempo, personale e coordinamento. È per questo che le file si allungano e l’incertezza operativa cresce, specialmente nelle fasce orarie ad alta densità di partenze. Alcuni voli decollano con ritardo, altri vengono riproteggiati in funzione degli slot disponibili e dei limiti di servizio dell’equipaggio. La ripartenza del digitale non è mai un interruttore: fino a completo ripristino, il sistema resta in equilibrio precario.

Chi è stato colpito e come si è propagato il blocco digitale

L’impatto più evidente si è manifestato in tre nodi cruciali per il traffico europeo: Bruxelles, Berlino (BER) e Londra Heathrow. In tutti i casi, la sintomatologia è stata sovrapponibile: rallentamenti ai banchi, passaggio al check-in manuale, imbarco più lento e avvisi ai passeggeri a verificare lo stato del volo. Questo attacco hacker contro gli scali europei non ha preso di mira un singolo aeroporto, ma una piattaforma condivisa che abilita le operazioni in molti scali. Da qui la propagazione: gli aeroporti che dipendono da quel provider vedono degradare la qualità del servizio in modo simultaneo, creando congestione non solo a livello locale ma anche sulla rete di collegamenti e coincidenze.

L’architettura su cui si regge il check-in moderno è costruita su standard come CUTE e CUPPS, che permettono a diverse compagnie aeree di utilizzare gli stessi banchi attraverso un layer software comune, collegato ai DCS (Departure Control System) delle compagnie. In mezzo ci sono i fornitori di piattaforme: integrano scanner, stampanti, lettori di documenti, sistemi di bag tagging, orchestrano le code di carte d’imbarco e allineano le informazioni con i database di volo. Nel momento in cui l’hub informatico subisce una interruzione, gli scali passano alla modalità manuale prevista dai piani di continuità. È un argine, non un sostituto in grado di garantire la stessa portata di un sistema automatico: mancano la velocità, la verifica incrociata in tempo reale e la sincronizzazione istantanea con gate e stive.

Dal punto di vista delle compagnie aeree, il contraccolpo è duplice. Operativamente, la gestione delle irregolarità richiede personale che ricalcoli priorità di partenza, connettività delle coincidenze e duty time degli equipaggi. Contrattualmente, entrano in gioco le clausole con il fornitore di servizi aeroportuali che definiscono SLA e piani di ripristino. Quando il cuore del sistema è condiviso, anche le conseguenze lo sono: la compagnia che opera su più scali colpiti deve riallineare contemporaneamente risorse e informazioni. È un esercizio di coordinamento tanto più complesso quanto più è diffuso l’attacco.

Dentro i sistemi: check-in, DCS e gli anelli deboli

Per comprendere perché un cyberattacco contro aeroporti europei riesca a bloccare i voli, bisogna sapere come si muovono i dati tra aeroporto e compagnia. Il DCS gestisce l’assegnazione dei posti, l’accettazione passeggeri, le liste d’imbarco e il peso dei bagagli; le postazioni aeroportuali, attraverso piattaforme common-use, fungono da terminali intelligenti che dialogano con il DCS e con i sistemi locali. Quando il collegamento centrale si interrompe, non si tratta solo di non poter stampare una carta d’imbarco: viene meno l’allineamento fra chi sta al banco, chi presidia il gate e chi carica i bagagli sulle stive. Il sistema da sincrono diventa asincrono, e ogni passaggio da rifare a mano introduce ritardo e rischio d’errore.

La sicurezza informatica degli aeroporti è costruita su più livelli. Esistono segmentazioni di rete, filtri anti-DDoS, autenticazioni forti, monitoraggi costanti. Tuttavia, l’anello debole si manifesta spesso dove la tecnologia è più eterogenea: periferiche di stampa, dispositivi legacy, bridge fra vecchi e nuovi protocolli. Un attore ostile non ha bisogno di “bucare” il controllo del traffico aereo per creare caos: è sufficiente limitare o saturare i servizi che tengono insieme l’esperienza al banco e al gate. La complessità gioca a suo favore: più componenti e integrazioni ci sono, più aumentano le superfici d’attacco e i punti di guasto.

Dal banco al gate: come si intrecciano i flussi digitali

In una giornata regolare, il passeggero arriva al banco, il sistema interroga il DCS, verifica il documento, controlla i requisiti di viaggio, offre o conferma l’assegnazione del posto, stampa carta d’imbarco e bag tag con un codice che il nastro bagagli e la stiva useranno per instradare i colli. In parallelo, si aggiorna la lista d’imbarco del volo, che al gate verrà sincronizzata con i tornelli per la convalida. Tutto questo accade in secondi, grazie a un flusso automatico e a interfacce standardizzate. Se cade la piattaforma centrale, la “magia” svanisce: ogni segmento va ricostruito con strumenti di riserva e moduli locali. È ancora possibile far decollare un volo, ma ogni operazione costa minuti invece di secondi, e il sistema perde elasticità per assorbire imprevisti.

Questa differenza di velocità spiega le code in crescita e la propagazione dei ritardi lungo la giornata. Un banco che impiega il triplo del tempo a gestire un passeggero trasferisce l’onda al controllo di sicurezza, alla gestione dei gate e alle piste dove i decolli si incastrano come in un puzzle. Anche un ritardo medio di venti minuti su più voli, concentrato nella stessa fascia oraria, può saturare la capacità del terminal e far scivolare in ritardo anche i voli non direttamente colpiti. È un sistema interdipendente: se una tessera rallenta, tutte le successive scattano in ritardo.

Dai bagagli alle coincidenze: l’effetto domino imprevedibile

Il nodo più delicato è spesso il bagaglio registrato. Senza un dialogo fluido fra tag e lista passeggeri, aumentano gli scarti e le verifiche manuali, con personale che deve incrociare i dati più volte. L’impatto sulle coincidenze è inevitabile: chi perde la connessione viene riprotetto su voli successivi, ma la disponibilità dipende dagli slot, dall’equipaggio e dalla capienza residua. Per le famiglie e per chi viaggia con attrezzature speciali o documenti da verificare, i tempi si allungano ulteriormente. Quando i ritardi superano determinate soglie, scattano obblighi di assistenza e cura al passeggero; la macchina organizzativa si sposta quindi dai banchi ai desk di customer care, che diventano nuove valvole di sfogo delle file.

Impatto per i passeggeri: cosa fare nell’immediato senza farsi travolgere

In giornate come questa, la priorità per chi vola è di ridurre l’incertezza. Presentarsi prima in aeroporto aiuta a spalmare l’impatto sul tempo disponibile e lascia margini per gestire gli imprevisti. Verificare più volte lo stato del volo nelle ore precedenti alla partenza consente di anticipare riprotezioni o cambi di gate. Se possibile, preparare documenti e requisiti (passaparto, visti, eventuali ESTA o ETA) in una cartellina facilmente accessibile evita perdite di tempo al banco. Viaggiare con bagaglio a mano può abbreviare il processo, ma è bene ricordare che anche il controllo ai gate può risentire della lentezza del sistema: non si tratta soltanto di stampare una carta d’imbarco, ma di convalidarla.

È consigliabile tenere alternative mentali in caso di perdita di coincidenza, soprattutto per rotte con frequenze elevate. Le compagnie, in scenari di attacco informatico agli aeroporti, aprono canali straordinari di assistenza e talvolta consentono cambi gratuiti entro una finestra temporale limitata. Restare agganciati ai canali ufficiali, evitare di affidarsi a screenshot non verificati circolati sui social e attenersi ai messaggi push di compagnia e scalo riduce il rischio di informazioni contraddittorie. Per chi ha esigenze particolari — minorenni non accompagnati, assistenza speciale, trasporto di strumenti musicali o attrezzature sportive — è utile contattare la compagnia appena possibile per certificare le necessità e non doverle negoziare all’ultimo minuto.

Dal lato economico, i diritti del passeggero variano a seconda del quadro regolatorio applicabile e della causa del ritardo o della cancellazione. In presenza di circostanze eccezionali riconosciute, alcune compensazioni non sono dovute, ma restano in piedi assistenza e riprotezione. L’invito, in ogni caso, è di documentare gli eventi, conservare ricevute e comunicazioni, e consultare i canali ufficiali della compagnia per comprendere quali tutele siano applicabili al proprio caso. In contesti fluidi come questo, la trasparenza informativa aiuta a mantenere rapporti più ordinati fra passeggeri, operatori e gestori aeroportuali.

Le indagini e le piste: cosa sappiamo e cosa ancora manca

Chi c’è dietro al cyberattacco contro aeroporti europei è una domanda che richiede tempo per trovare risposta. Le attribuzioni serie non si fanno mai nelle prime ore: serve raccogliere indicatori di compromissione, correlare eventi su log diversi, comprendere se si tratti di un DDoS, di una intrusione mirata o di una compromissione della supply chain. Negli ultimi anni, il settore dei trasporti europei è stato più volte bersaglio di campagne DDoS rivendicate da collettivi filo-statali e di operazioni ransomware-as-a-service che puntano alla disponibilità dei sistemi. Qui, i sintomi rimandano con maggiore probabilità a un collo di bottiglia creato dall’indisponibilità temporanea del provider: una prova tecnica che richiede competenze tanto nella ricognizione quanto nell’esecuzione.

Le piste investigative seguono, in genere, due binari. Il primo è tecnico: comprendere la tecnica d’attacco, la finestra temporale, se l’azione sia stata volumetrica o basata su abusi di credenziali, e se l’infrastruttura colpita mostrasse vulnerabilità note o configurazioni deboli. Il secondo è strategico: incrociare l’evento con altri episodi, individuare pattern riconducibili a gruppi noti, verificarne motivazioni e obiettivi. In assenza di rivendicazioni affidabili, la prudenza comunicativa è essenziale: si forniscono aggiornamenti operativi al pubblico e si mantengono riservati i dettagli tecnici utili all’investigazione.

Va distinto, inoltre, il perimetro dell’impatto reale da quello della percezione. La sicurezza del volo e del controllo del traffico aereo non risultano interessate da incidenti di questo tipo, che toccano processi di terra legati all’accettazione e all’imbarco. È un discrimine fondamentale per evitare allarmismi: l’aria resta sicura, è il terminal a soffrire. Gli aeroporti e le autorità competenti coordinano la risposta in doppia chiave — ripristino e indagine — con il supporto dei CERT nazionali, delle forze di polizia specializzate in reati informatici e delle reti di cooperazione europee.

Le contromisure del settore: resilienza, standard e trasparenza

La crisi di oggi illumina le priorità per il settore. Primo, resilienza architetturale: ridondanza in regioni cloud differenti, repliche attive dei servizi critici, segmentazione rigorosa delle reti operative e micro-segmentazione per isolare rapidamente anomalie. Secondo, competenza operativa: esercitazioni periodiche di incident response che coinvolgano aeroporti, compagnie aeree, gestori del bagaglio, forze dell’ordine, con playbook realistici che simulino provider down, DDoS prolungati, compromissione di credenziali e ripartenza graduale dei servizi. Terzo, trasparenza verso il pubblico: banner in tempo reale, comunicazioni coordinate, messaggi chiari su cosa funziona e cosa no. La fiducia si costruisce informando senza drammatizzare, spiegando cosa sta accadendo e quali tempi indicativi servono per il ripristino.

Un altro tema è la diversificazione dei fornitori. La standardizzazione porta enormi vantaggi in termini di efficienza e interoperabilità, ma non può tradursi in dipendenza univoca da un singolo collo di bottiglia. Alcuni scali già implementano percorsi alternativi per le funzioni più sensibili (stampa carte d’imbarco e tag, validazione ai gate) con provider differenti o moduli offline capaci di garantire operatività degradate ma stabili per alcune ore. Questo dual vendor per le componenti critiche ha un costo, ma compensa con la continuità di servizio in caso di crisi.

Nell’era dell’AI operativa, gli attaccanti migliorano la ricognizione (enumerazione di servizi, individuazione di configurazioni esposte) e automatizzano parti della catena d’attacco. La risposta non può che essere simmetrica: telemetria avanzata, anomaly detection contestualizzata, con soglie e alert che tengano conto dei cicli operativi di un aeroporto. Le policy di accesso al perimetro e ai sistemi di terze parti vanno adeguate con principio del privilegio minimo, rotazione frequente delle credenziali, multeplici fattori di autenticazione e registri auditabili. Il testing continuo — dal tabletop all’assalto controllato su componenti non produttive — deve diventare una routine.

Infine, c’è il capitolo contrattuale. I contratti con i fornitori che abilitano servizi aeroportuali come il check-in e il boarding devono mettere nero su bianco SLA di resilienza, RTO e RPO realistici, esercitazioni congiunte obbligatorie e penali calibrate sull’impatto reale. La trasparenza sulle architetture e sui piani di failover deve essere parte dell’accordo, con audit periodici e metriche condivise. È un cambio culturale oltre che tecnico: si passa dalla “semplice” disponibilità del servizio alla garanzia di continuità misurabile.

Cosa cambia da domani per aeroporti e compagnie

Le ore di oggi saranno oggetto di post-mortem dettagliati. Gli scali coinvolti analizzeranno timeline, decisioni, colli di bottiglia e azioni correttive. È probabile che emergano tre linee d’azione. La prima è rafforzare il fallback: ampliare le scorte di stampanti locali, definire kit d’emergenza standard per i banchi, predisporre moduli offline aggiornati e formazione più frequente per il personale, in modo che il manual mode non sia un piano “di carta” ma una capacità reale. La seconda è ridisegnare i perimetri di rete, separando con maggiore nettezza i percorsi critici da quelli non critici, riducendo interdipendenze che oggi amplificano i guasti. La terza è testare la catena dei fornitori: non basta che il provider dichiari di essere ridondato; occorre provare il failover, misurarne i tempi, documentarne i limiti.

Per le compagnie aeree, il punto è ragionare per scenari. Un attacco informatico agli scali che colpisce il provider dei banchi non impatta allo stesso modo tutte le rotte: i voli punto-punto con elevata frequenza e tempi di turnaround brevi richiedono strategie diverse rispetto ai long-haul che dipendono da coincidenze e slot rigidi. La comunicazione proattiva con i passeggeri — notifiche push, opzioni di cambio gratuito entro finestre definite, sportelli dedicati in terminal — riduce la pressione al banco e al gate, e aiuta a governare l’inevitabile frustrazione che accompagna giornate come questa.

C’è, infine, un tema di reputazione. Gli aeroporti e i provider che mostreranno tempestività, precisione e cooperazione nel gestire crisi di questo tipo usciranno più credibili. La fiducia del pubblico non nasce dall’assenza di problemi, ma da come i problemi vengono comunicati e risolti. L’Europa ha sviluppato nel tempo reti di cooperazione fra forze dell’ordine e autorità per il contrasto al cybercrime; la stessa idea di rete va tradotta in routine operative tra aeroporti, compagnie e fornitori, con sale di crisi virtuali pronte a essere attivate all’occorrenza e con standard comuni per condividere in tempo reale indicatori e contromisure.

Nessuno è un’isola: cosa ci insegna lo stop di oggi

Il cyberattacco contro aeroporti europei che ha colpito Bruxelles, Berlino e Heathrow è la dimostrazione più concreta di quanto sia interdipendente la mobilità contemporanea. L’evento ha risposto già nelle prime ore alle domande essenziali: chi è stato colpito, cosa si è fermato, quando e dove è accaduto, perché un fornitore centrale può diventare il tallone d’Achille di un intero continente. Mentre le indagini tecniche faranno il loro corso, il settore ha davanti un compito chiaro: aumentare la resilienza senza rinunciare agli standard che hanno reso efficiente la macchina aeroportuale. Questo significa investire in ridondanza, testare i piani d’emergenza, misurare i tempi di ripartenza e comunicare meglio con chi viaggia.

Per i lettori e i viaggiatori, il valore pratico è immediato. Nei giorni in cui un attacco informatico agli scali europei manda in tilt i servizi, il comportamento del singolo fa la differenza: arrivare prima, tenere informazioni aggiornate a portata di mano, seguire i canali ufficiali, essere flessibili sulle coincidenze. Per aeroporti e compagnie, il messaggio è speculare: affinare procedure, allenare persone, costruire architetture che accettino l’errore e resistano allo shock. La sicurezza informatica non è un accessorio del viaggio: è il motore invisibile che permette a ogni carta d’imbarco di diventare un decollo reale. Oggi quel motore ha tossito; domani dovrà girare più forte e più a lungo, perché la rete che ci fa muovere non si spegne mai e merita ingranaggi all’altezza delle aspettative di chi, ogni giorno, affida all’aria i propri piani, il proprio lavoro, la propria vita.

🔎​ Contenuto Verificato ✔️

Questo articolo è stato redatto basandosi su informazioni provenienti da fonti ufficiali e affidabili, garantendone l’accuratezza e l’attualità. Fonti consultate: ANSA, Sky TG24, Il Fatto Quotidiano, la Repubblica, AGI, TGCOM24.