Nel settembre 2023, il Parlamento europeo ha promosso il nuovo obiettivo del 42,5% di energie rinnovabili entro il 2030, nonostante i Paesi dell’UE vengano sollecitati a investire nell’obiettivo del 45%.
Un traguardo, quest’ultimo, sostenuto anche dalla Commissione europea, che lo ha inserito nel piano REPowerEU, il cui intento generale è garantire la sicurezza e l’indipendenza energetica nel Vecchio Continente, svincolando i consumi europei dai combustibili fossili (soprattutto quelli provenienti dalla Russia) e incrementando la quota di rinnovabili nella produzione di energia, nell’industria, negli edifici e nei trasporti.
È facile quindi capire come l’energia solare divenga, sempre di più, una componente fondamentale degli obiettivi europei non solo in materia di energia pulita ma anche di sicurezza energetica. In tal senso, l’European Solar Manufacturing Council (ESMC), che ha vari gruppi di lavoro e rappresenta gli interessi dell’industria manifatturiera solare, lancia l’alert. Attraverso un documento ufficiale, l’associazione di categoria sottolinea che l’accesso remoto via software agli inverter fotovoltaici europei (dunque le unità di controllo fondamentali dei sistemi di energia solare), prodotti da aziende al di fuori dei confini – con particolare riferimento ai produttori cinesi, dai quali proviene circa il 70% di tutti gli inverter installati a livello mondiale nel 2023 – presentano rilevanti criticità.
Il segretario generale dell’ESMC, Christoph Podewils, non ha dubbi: “L’Europa deve agire ora per prevenire una futura crisi energetica che potrebbe determinare la dipendenza del gas dalla Russia”. Da qui, l’importanza per i Paesi di “sostenere le valutazioni della Commissione europea sui pericoli per la cyber security nella filiera dell’energia solare”.
Un esempio inerente la rete elettrica e l’Internet of Things (IoT) è proprio il vettore di attacco che sfrutta i bug o gli errori del firmware degli inverter degli impianti fotovoltaici – parliamo del software integrato nei dispositivi “intelligenti” per gestirne la funzionalità – mirando a manipolare gigawatt di potenza elettrica installata. Il fine ultimo degli attaccanti? Generare un collasso sistemico della rete, come nel caso del blackout che ha colpito Spagna, il Portogallo e parte della Francia.
Il device che consente a un impianto fotovoltaico di collegarsi alla rete elettrica e di inviarvi energia è appunto l’inverter, chiamato ad ampliare la tensione della potenza elettrica generata dai pannelli fotovoltaici per poi declinarla, attraverso la giusta frequenza, in corrente alternata. Ma cosa accade se un inverter “smarrisce” la fase o, nel peggiore dei casi, la frequenza? Prendono il via dei fenomeni energetici estremi, che impongono la disconnessione immediata e il blocco dei generatori della rete.
Quasi tutti di produzione cinese, i firmware degli impianti fotovoltaici nel mondo sono dunque a rischio bug. Tradotto: facilmente “sfruttabili” da malintenzionati (esperti) come vettore di attacco alle reti elettriche. Ragione per cui, gli organi europei sono chiamati a un maggiore impegno in materia di cybersecurity.
Già nel 2024, appena dopo il semaforo verde al quadro normativo “Net-Zero Industry Act” – legge ratificata in via definitiva dal Parlamento europeo, ha come obiettivo che il Vecchio Continente arrivi a generare il 40% del proprio fabbisogno annuale di “net-zero technology” entro il 2030, un risultato che ha come punto di riferimento i Piani nazionali per l’energia e il clima, indispensabili per rendere il continente equo, resiliente e clinicamente neutro – l’European Solar Manufacturing Council aveva rilasciato un documento di raccomandazione ad hoc. Così, in aggiunta allo stop generalizzato all’importazione di inverter da Pechino in tutti gli Stati membri dell’UE, la stessa ESMC chiede l’immediata adozione di una “Inverter Security Toolbox”, ovvero un sistema di monitoraggio e mitigazione di rischi simile a quello adottato per le reti mobili 5G.
A confermare la minaccia è il report “Solutions for PV Cyber Risks to Grid Stability” – commissionato da SolarPower Europe, l’associazione che rappresenta l’industria fotovoltaica europea, alla società di consulenza DNV – da cui emerge che un attacco a soli 3 GW di capacità di inverter potrebbe determinare “effetti rilevanti” per la rete elettrica del Vecchio Continente. Tornando al 2023, quell’anno l’Autorità olandese per le infrastrutture digitali (RDI) attraverso una nota aveva ammonito circa le criticità degli inverter dei pannelli solari, precisando che “nessuno dei nove inverter esaminati ha soddisfatto lo standard di sicurezza informatica”.
Dall’Olanda alla Lituania, che dalla fine del 2024 ha proibito l’installazione di inverter cinesi con funzionalità di controllo remoto agli impianti eolici e solari del Paese.
L’allarme sulla possibilità che i dispositivi cinesi celino capacità informatiche in grado di intercettare ed esfiltrare informazioni sensibili, ma anche di manipolare oppure sabotare le comunicazioni, non è del tutto nuovo. Era il 2014 quando, negli Stati Uniti, questo tema veniva dibattuto nel workshop ECIR – acronimo di Explorations in Cyber International Relations –, ideato da Nazli Choucri e David Clark e promosso congiuntamente dal MIT (Massachusetts Institute of Technology) e dalla Harvard University. Da parte sua Mike Rogers, ex direttore della National Security Agency, sottolinea l’importanza di non sottovalutare il pericolo: “Sappiamo che Pechino ritiene conveniente mettere a rischio almeno alcuni elementi delle nostre infrastrutture fondamentali. Probabilmente la Cina spera che l’impiego diffuso di questi inverter limiti le opzioni di cui l’Occidente dispone per affrontare il problema della sicurezza”.
È bene ricordare, inoltre, che lo scorso febbraio due senatori, Rick Scott e Maggie Hassan, hanno presentato il “Decoupling from Foreign Adversarial Battery Dependence Act”, un disegno di legge che vieterebbe al Dipartimento per la Sicurezza Internadegli Stati Uniti di acquistare batterie da alcune entità cinesi, a cominciare da ottobre 2027, per ragioni di sicurezza nazionale. Ma non è tutto. Precisamente un mese dopo – siamo a marzo di quest’anno – i ricercatori dell’azienda di cyber security Forescout hanno rilevato 46 vulnerabilità negli inverter solari di tre importanti fornitori, tra i quali due di essi hanno sede in Cina.
Dal report “Sun:Down – Destabilizing the Grid via Orchestrated Exploitation of Solar Power Systems” emerge che numerosi sistemi impiegano sia protocolli di comunicazione non sicuri sia sistemi operativi non aggiornati, quindi vulnerabili a un’ampia gamma di attacchi informatici (ottenuti determinati nomi utente per accedere agli account, i criminal hacker sono in grado di reimpostare le password e inviare comandi che modificano le impostazioni degli inverter).
Le falle individuate riguardano l’autenticazione debole (iniziative malevole considerate tra le più costose per le aziende) e l’SQL injection, una tecnica di hacking che – sfruttando alcuni errori nella programmazione di pagine HTML – permette all’attaccante di iniettare un codice non previsto all’interno di applicazioni web che interrogano un database.
Un ulteriore aspetto critico riguarda l’assenza di segmentazione della rete: in molti impianti fotovoltaici, infatti, i dispositivi di controllo sono collegati alla stessa rete dei sistemi aziendali, agevolando (seppur involontariamente) gli attaccanti. Non da ultimo, il team di ricerca di Forescout ha scoperto che numerosi fornitori di energia solare non rilasciano aggiornamenti di sicurezza. Anche qui, avvantaggiando i malintenzionati che sfruttano le vulnerabilità per ottenere l’accesso ai sistemi. Nel frattempo, è laconico (e sintetico) il commento di un portavoce dell’ambasciata cinese a Washington. “Ci opponiamo alla generalizzazione del concetto di sicurezza nazionale, che distorce e denigra i successi infrastrutturali di Pechino”.
