La casa automobilistica britannica Jaguar Land Rover (JLR) si trova ancora alle prese, da oltre un mese, con le conseguenze di un devastante attacco informatico che ha paralizzato le sue operazioni produttive. Per difendersi il marchio ha fermato la produzione globale, che si attestava intorno alle 1000 auto al giorno, bloccando, di fatto, sia i siti britannici di Halewood e Solihull, sia la fabbrica di motori di Wolverhampton, oltre agli hub in Slovacchia, Cina e India. Molti dei 33.000 dipendenti sono stati invitati a restare a casa.
L’incidente, iniziato alla fine di agosto 2025, rappresenta uno dei cyberattacchi più gravi mai subiti dall’industria automobilistica europea, e sta generando perdite stimate, a oggi, in circa 1 miliardo di sterline (1,36 miliardi di dollari) di fatturato mettendo a rischio l’intera filiera e tutto l’ecosistema industriale che ruota attorno al marchio.
Secondo Autonews, il blocco avrebbe provocato un impatto sui profitti stimato in 70 milioni di sterline (80,7 milioni di euro), pari a circa 4,25 milioni di euro di perdite al giorno.
I fornitori della Casa britannica hanno infatti comunicato di avere temporaneamente licenziato o sospeso non meno di 6.000 dipendenti, considerato che il loro cliente principale ha bloccato ogni commissione.
La questione è arrivata addirittura in Parlamento, dove il deputato laburista Liam Byrne (presidente della Commissione per il commercio e gli affari della Camera dei Comuni) ha chiesto un intervento dell’esecutivo, visto il rischio concreto per ben 200.000 posti di lavoro in UK, tra dipendenti diretti e indotto.
Gli autori e il metodo di attacco
L’attacco a Jaguar Land Rover è stato rivendicato dal gruppo criminale informatico noto come Scattered Lapsus$ Hunters.
Secondo le prime ricostruzioni la causa potrebbe essere un ransomware, un tipo di software dannoso (malware) che blocca l’accesso ai dati o ai dispositivi fino al pagamento di un riscatto (ransom) per ripristinare le funzioni del sistema. Secondo alcuni forum britannici, i malviventi potrebbero aver sfruttato una vulnerabilità in un software di terze parti chiamato SAP Netweaver.
Il modus operandi utilizzato dal gruppo criminale si basa principalmente su tecniche di social engineering sofisticate, che permettono agli attaccanti di aggirare le barriere tecnologiche facendo leva sul fattore umano. Questo tipo di approccio prevede la manipolazione psicologica dei dipendenti per ottenere credenziali di accesso, informazioni riservate o l’installazione di malware all’interno della rete aziendale.
Una volta penetrati nei sistemi di JLR, i cybercriminali hanno avuto accesso a una quantità impressionante di dati sensibili. Circa 350 GB di dati sono stati sottratti, inclusi dettagli sui veicoli, registri di sviluppo, codice sorgente e informazioni sui dipendenti. La portata dell’attacco suggerisce una preparazione meticolosa e una conoscenza approfondita dell’infrastruttura IT della casa automobilistica.
Continuano comunque le vendite delle auto già assemblate e pronte, ma potrebbero sorgere problemi di inventariato, considerato che si dovrà procedere in modo alternativo ai registri ufficiali conservati online.
Ci sarebbero persino voci secondo le quali il costruttore avrebbe perso traccia di 40.000 auto destinate alle concessionarie, ma JLR ha negato: “Abbiamo piena visibilità e controllo dei veicoli grazie ai processi di tracciamento dalla fabbrica al mercato”.
Le implicazioni per la privacy
Oltre ai danni operativi, l’attacco ha comportato una significativa violazione dei dati.
Jaguar Land Rover ha confermato che gli aggressori hanno anche rubato “alcuni dati” durante il recente cyberattacco. Le informazioni compromesse potrebbero includere dati tecnici sui veicoli, informazioni sui dipendenti e potenzialmente anche dettagli sui clienti, rappresentando un rischio significativo per la privacy e la sicurezza commerciale.
Il confronto con Ferrari: un modello ricorrente nel settore automotive
L’attacco a Jaguar Land Rover richiama inevitabilmente alla memoria il cyberattacco subito da Ferrari nel marzo 2023, che presenta alcune similitudini con l’incidente attuale. Un elenco sul sito web di RansomEXX mostrava 7GB di dati presumibilmente rubati a Ferrari, inclusi documenti interni, schede tecniche e manuali di riparazione.
Nel caso Ferrari, l’azienda era stata contattata da uno degli autori del crimine con una richiesta di riscatto. Tuttavia, la casa italiana aveva adottato una linea ferma, rifiutando di pagare quanto richiesto dai criminali. Ferrari dichiarò che l’attacco ransomware era responsabile di una violazione dei dati che aveva esposto i dettagli dei clienti, ma non aveva avuto impatto sulle operazioni aziendali.
La differenza principale tra i due attacchi risiede nell’impatto operativo: mentre Ferrari riuscì a mantenere operative le sue funzioni aziendali quotidiane, Jaguar Land Rover ha dovuto affrontare una paralisi completa delle attività produttive.
L’insegnamento
L’incidente di Jaguar Land Rover evidenzia la vulnerabilità crescente del settore automotive agli attacchi informatici e rappresenta un campanello d’allarme per l’intera industria automotive, dimostrando come la crescente digitalizzazione e connettività dei veicoli moderni espongano le case automobilistiche a rischi informatici sempre più sofisticati.
Quello che rimane, a parte il grave danno, è l’urgenza di investimenti massicci non solo in tecnologie di cybersecurity ma soprattutto in formazione del personale per riconoscere e contrastare le tecniche di social engineering. La cybersecurity awareness non può più essere considerata un costo accessorio, ma deve diventare un investimento strategico fondamentale per la sopravvivenza aziendale nell’era digitale.
L’importante però, è scegliere quella giusta: aggiornata, efficace, divertente, personalizzata, interattiva, facilmente fruibile, continua.
Anche nel mondo della formazione, infatti, le cose cambiano molto velocemente e affidarsi a percorsi formativi inadeguati potrebbe essere un grave errore strategico per le aziende.
