Da oltre tre settimane le linee di produzione di Jaguar Land Rover (Jlr), la più grande casa automobilistica del Regno Unito, sono ferme. Se normalmente gli impianti dell'azienda producono circa mille veicoli al giorno, ora migliaia di dipendenti sono rimasti a casa in attesa che l’azienda risolva un grave attacco informatico. Quello che sembrava dover essere un breve stop si protrae ormai da settimane, con effetti a catena su centinaia di fornitori che rischiano di far degenerare l’incidente in una crisi industriale.Il 20 settembre, il governo britannico ha riconosciuto l'“impatto significativo” non solo su Jlr ma sull’intera filiera automobilistica. Sindacati e politici locali avvertono che migliaia di posti di lavoro nella catena di approvvigionamento sono a rischio e che alcune imprese più piccole rischiano il fallimento. Secondo diverse ricostruzioni, Jlr starebbe perdendo fino a 50 milioni di sterline a settimana (circa 58 milioni di euro). Alcune aziende hanno già iniziato a licenziare personale, mentre il sindacato Unite denuncia che “lavoratori della filiera sono stati licenziati o sospesi con retribuzioni ridotte o nulle”, e in vari casi invitati a richiedere sussidi statali.Un attacco senza precedenti“È un livello di interruzione senza precedenti nel Regno Unito per un cyberattacco o un attacco ransomware”, spiega Jamie MacColl, ricercatore senior del gruppo di ricerca su tecnologia e sicurezza informatica presso il Royal United Services Institute (Rusi), think tank britannico per la difesa e la sicurezza. Con migliaia di posti di lavoro potenzialmente a rischio, temporaneamente o in modo permanente, si tratta di “un ordine di grandezza diverso rispetto agli incidenti precedenti”, aggiunge MacColl.Jaguar Land Rover, di proprietà del gruppo indiano Tata Motors, è uno dei principali datori di lavoro del Regno Unito, con circa 32.800 dipendenti diretti. Secondo i dati pubblicati dall’azienda, Jlr sostiene altri 104.000 posti di lavoro attraverso la filiera nazionale. A tutto questo poi si sommano fornitori e stabilimenti all’estero.All’inizio di settembre Jlr ha confermato di essere stata “colpita” da un attacco informatico e di aver adottato “azioni immediate”, arrivando a “spegnere proattivamente i propri sistemi” e bloccando di fatto le fabbriche e i processi produttivi. Nel corso delle indagini interne, l’azienda ha rivelato che “alcuni dati” sono stati “compromessi”, senza però specificare oltre.La sospensione della produzione, inizialmente prevista fino al 24 settembre, è stata prorogata: Jlr ha annunciato che lo stop resterà in vigore almeno fino al primo ottobre. “Abbiamo informato colleghi, fornitori e partner che, a seguito dell'incidente informatico, abbiamo prolungato l'attuale sospensione della produzione fino a mercoledì primo ottobre 2025 – ha scritto l'azienda –. I nostri team continuano a lavorare 24 ore su 24 insieme agli specialisti in sicurezza informatica, al Centro nazionale per la sicurezza informatica e alle forze dell'ordine per essere sicuri di ripartire in maniera sicura e protetta".Jlr non ha risposto alle domande di Wired su quali sistemi siano stati compromessi, sui costi economici dell’attacco per i fornitori e sulle eventuali misure adottate per sostenere le imprese colpite.Quasi subito dopo l’attacco, un gruppo su Telegram chiamato Scattered Lapsus$ Hunters ha rivendicato la responsabilità dell'offensiva. Il nome suggerisce una possibile collaborazione tra tre collettivi di cybercriminali — Scattered Spider, Lapsus$ e ShinyHunters —, responsabili di alcuni degli attacchi informatici più rilevanti degli ultimi anni.Effetto a catenaRealizzare un’automobile è un processo estremamente complesso, con centinaia di aziende diverse che forniscono materiali, componenti elettronici e altri pezzi ai costruttori. Queste reti di fornitura si affidano spesso alla produzione just-in-time, che prevede che componenti e servizi vengano consegnati nelle quantità strettamente necessarie e al momento preciso in cui servono, evitando così l'accumulo di grandi scorte in magazzino.“Le reti di fornitori che servono questi impianti produttivi sono tutte improntate all’efficienza, economica e logistica”, spiega Siraj Ahmed Shaikh, professore di sicurezza dei sistemi alla Swansea University. “Si tratta di una catena di fornitura coordinata con estrema precisione”, aggiunge, parlando in generale del settore automobilistico. “Esiste una dipendenza critica per i fornitori che alimentano questo tipo di operazioni. Appena si verifica un’interruzione in uno di questi stabilimenti, tutti i fornitori ne vengono colpiti”.Secondo un articolo del Telegraph, un’azienda che produce tettucci apribili in vetro ha già iniziato a tagliare il personale. Un’altra società ha dichiarato a Bbc di aver licenziato circa 40 persone. La francese OPmobility, che impiega 38mila persone in 150 stabilimenti, ha detto a Wired che sta monitorando la situazione. “OPmobility sta riconfigurando la produzione in alcuni siti a seguito della sospensione da parte di un cliente con sede nel Regno Unito e in base all’evoluzione degli eventi”, ha dichiarato un portavoce.Anche se non è ancora chiaro quali sistemi di Jlr siano stati colpiti e quali l’azienda abbia spento in via preventiva, è probabile che molti siano stati messi offline per evitare un’escalation. “È molto difficile garantire il contenimento quando esistono ancora connessioni tra diversi sistemi”, spiega Orla Cox, responsabile della comunicazione per la cybersecurity nell’area Emea di Fti Consulting, società che si occupa di risposta agli attacchi informatici e indagini. “Spesso inoltre i vari sistemi sono interdipendenti: se ne spegni uno, ci sono effetti a catena sugli altri”.Ogni volta che un anello della filiera viene colpito da un cyberattacco — che si tratti di un produttore al vertice o di un’azienda più a valle — le connessioni digitali tra le imprese possono essere interrotte per impedire agli aggressori di spostarsi da una rete all’altra. In questi casi possono essere bloccati i collegamenti via vpn o api, spiega Cox. “Alcuni arrivano persino a misure più drastiche, come bloccare domini e indirizzi ip. A quel punto non è più possibile usare nemmeno la posta elettronica tra due organizzazioni”.Impatto politico ed economicoLa complessità delle catene di approvvigionamento digitali e fisiche, che coinvolgono decine di aziende e sistemi di produzione just-in-time, fa sì che riportare tutto online e a pieno regime richiederà presumibilmente tempo. Secondo Jamie MacColl, ricercatore senior del Rusi, anche se i temi della cybersecurity raramente entrano nel discorso politico britannico ai massimi livelli, questa volta potrebbe essere diverso. “Questo incidente potrebbe presto entrare al centro del dibattito politico, sia per i posti di lavoro a rischio sia perché i parlamentari delle circoscrizioni colpite subiranno inevitabilmente la pressione da parte dei cittadini”, spiega. E in effetti, il cambiamento è già visibile.“Questo cyberattacco […] sta rapidamente diventando un’onda d’urto informatica che sta attraversando i nostri distretti industriali”, ha scritto su X Liam Byrne, deputato e presidente della commissione Business and Trade della Camera dei Comuni. “Se il governo resta a guardare, quell’onda d’urto distruggerà posti di lavoro, aziende e salari in tutta la Gran Bretagna”. Anche altri parlamentari hanno espresso preoccupazioni dopo aver parlato con i fornitori di Jlr, mentre il sindacato Unite ha chiesto al governo britannico di intervenire con un programma di cassa integrazione (furlough) a sostegno dei lavoratori.“Il recente incidente informatico sta avendo un impatto significativo su Jaguar Land Rover e sull’intera filiera automobilistica”, ha dichiarato il Department for Business and Trade del Regno Unito dopo un incontro con le associazioni del settore. “Il governo, compresi gli esperti di cybersecurity, è in contatto con l’azienda per supportare il ripristino delle operazioni produttive e sta lavorando a stretto contatto con Jlr per comprenderne gli effetti sulla catena di fornitura”.L’attacco è l’ennesima dimostrazione di quanto fragili siano le catene di fornitura di fronte a interruzioni improvvise. “Serve una transizione verso catene e operazioni più resilienti, soprattutto nella produzione”, sottolinea Shaikh della Swansea University.MacColl aggiunge che, in un contesto globale di forti tensioni — con diversi paesi che si stanno preparando a scenari di guerra — il caso mostra quanto sia semplice paralizzare la produzione. “Se questo è l’effetto che possono avere dei semplici criminali sulle nostre supply chain, è preoccupante pensare a quanto siamo impreparati di fronte a un attacco più coordinato e prolungato da parte di un potenziale avversario statale”, avverte.Questo articolo è apparso originariamente su Wired US.