Come abbiamo raccontato in questo articolo lo sviluppo della mobilità elettrica non porta solo ad un aumento dei mezzi venduti, ma anche ad una maggior diffusione dei punti di ricarica. Secondo i dati raccolti dall’Associazione Motus-e l’aumento delle colonnine alla fine di settembre del 2022 era del 32% rispetto a dodici mesi prima.
Il settore è dunque in un momento di forte espansione. Tuttavia, un business in rapida ascesa spinge gli attori a trascurare elementi importanti pur di non perdere terreno nella corsa alle maggiori quote di mercato. Ciò si traduce spesso in poca – o nulla – attenzione su aspetti sempre più cruciali per la salute del business stesso, come la cybersecurity.
Dopo aver esplorato gli aspetti generali di sicurezza informatica nelle colonnine di ricarica dei veicoli elettrici, scendiamo nel dettaglio del funzionamento della singola colonnina per capire i punti critici di un dispositivo che può rivelarsi dannoso per i dati e per il portafoglio dell’utente.
I pericoli legati a sistema di ricarica
Il pagamento della ricarica è un tipo di transazione che avviene all’interno di un sistema integrato per l’incasso degli importi. Operazione preliminare è l’identificazione dell’utente alla colonnina tramite un token ID che consiste spesso in una tessera (NFC, Near-Field-Communication) associata a un conto bancario. I pagamenti vengono gestiti solitamente da un protocollo specifico (Open Charge Point Protocol), che regola le comunicazioni tra il sistema integrato e il punto di ricarica. Da questo parte la richiesta al sistema per identificare l’utente; il sistema accetta e comunica con il punto di ricarica, che è così pronto per erogare il servizio.
In questo schema estremamente semplice non sono pochi i punti critici, a partire dalle tessere NFC, i cui dati potrebbero non essere soggetti a cifratura. Si tratta di un’ipotesi remota, poiché è sempre più diffuso l’utilizzo della crittografia DES per questo tipo di oggetti (carte di credito, carte di identità elettroniche, tessere sanitarie); tuttavia, resta un’ipotesi da tenere in considerazione.
Molto meno remoto è il rischio legato al protocollo OCPP (Open Charge Point Protocol), standard delle colonnine di ricarica. Si tratta di un protocollo aperto, particolarmente esposto ad attacchi di tipo Man-in-the-Middle (MitM), durante i quali l’attaccante si pone al centro della comunicazione tra due entità; in questo caso la colonnina di ricarica e il sistema integrato per intercettare il flusso di dati. Risulta quindi chiaro il tipo di pericolo al quale vanno incontro i dati dell’utente, che tramite la tessera NFC inserisce nella colonnina le coordinate del proprio conto bancario.
Un altro rischio da non sottovalutare riguarda l’eventuale presenza sulle colonnine di porte USB. In questo casa diventa possibile collegarvi una memoria estraibile nella quale copiare i dati di configurazione e di accesso, che permettono di accedere a ID e password per il server OCCP e, possibilmente, anche ai dati delle tessere NFC degli utenti, che possono essere replicati in procedure di clonazione. I dati di configurazione e di accesso, inoltre, consentirebbero all’attaccante di disattivare la colonnina, creando un evidente danno alla società che eroga il servizio.
Questi sono solo alcuni esempi delle vulnerabilità legate alle colonnine di ricarica, dispositivi cruciali, che sulla sicurezza richiedono la stessa attenzione riservata dai produttori ai veicoli elettrici.
