La transizione energetica ha trasformato le infrastrutture elettriche in sistemi cyber-fisici complessi, dove digitale e fisico si fondono in modo strutturale. Le stazioni di ricarica per veicoli elettrici ne sono l’esempio più visibile: milioni di punti di connessione distribuiti sul territorio, tutti collegati in rete, tutti potenzialmente vulnerabili. Un sistema che, se da un lato abilita la mobilità sostenibile, dall’altro espande in modo significativo la superficie d’attacco a disposizione di attori malevoli.
I rischi non sono teorici. Un attacco alle infrastrutture di ricarica può causare interruzioni di servizio, manipolazioni delle sessioni di ricarica, furto di dati degli utenti, fino alla destabilizzazione di porzioni della rete elettrica. La posta in gioco è alta, e il quadro normativo europeo lo ha riconosciuto esplicitamente: la direttiva NIS2 (EU 2022/2555), entrata in vigore nel 2023, impone obblighi specifici di sicurezza informatica agli operatori di infrastrutture critiche, incluse le reti di ricarica EV. L’articolo 21 richiede misure tecniche, operative e organizzative proporzionate all’esposizione al rischio e al potenziale impatto sociale ed economico degli incidenti.
È in questo contesto che si inserisce il lavoro di ricerca condotto da RSE (Ricerca sul Sistema Energetico) in collaborazione con Nozomi Networks, pubblicato sulla rivista scientifica Electronics (MDPI, novembre 2025). Lo studio presenta una piattaforma modulare basata sull’intelligenza artificiale per il rilevamento di attacchi informatici alle infrastrutture di ricarica EV, validata su un impianto reale operativo, non su dataset sintetici o ambienti simulati.
Un laboratorio che è anche vita reale
Il banco di prova è il sito RSE di Milano: dodici colonnine di ricarica di cinque produttori diversi, collegate tramite il protocollo OCPP-J v1.6 a un sistema di gestione centralizzato. Le stazioni vengono utilizzate quotidianamente dai dipendenti RSE per ricaricare i propri veicoli aziendali. Questo dettaglio non è secondario: lavorare su traffico reale – generato da comportamenti autentici, con tutta la variabilità del caso – garantisce una rappresentatività che i dataset pubblici difficilmente offrono.
La maggior parte delle ricerche esistenti in questo ambito si basa su dataset aggregati a livello di flusso (flow-level), perdendo la granularità del singolo pacchetto. Questo approccio, pur utile in assenza di infrastrutture reali, introduce un bias che può sovrastimare le prestazioni dei modelli in ambienti operativi. Il nostro framework adotta invece un’analisi a livello di pacchetto su traffico reale – una scelta che aumenta la complessità del problema, ma anche l’affidabilità e la trasferibilità dei risultati.
La raccolta dati avviene in modalità passiva, senza interferire con il normale funzionamento dell’impianto. Lo strumento principale per la raccolta è Nozomi Networks Guardian, un sensore di sicurezza OT/IoT che fornisce visibilità completa sugli asset e sulle comunicazioni, operando senza impattare i sistemi di controllo industriale – requisito essenziale in ambienti energetici dove la continuità operativa è prioritaria. I dati confluiscono nello stack ELK (Elasticsearch, Logstash, Kibana), che li normalizza, li archivia e li rende interrogabili in tempo reale attraverso dashboard interattive.
Il cuore dell’intelligenza: LSTM Autoencoder
Il motore di rilevamento delle anomalie è un modello LSTM Autoencoder, un’architettura di deep learning particolarmente adatta all’analisi di serie temporali multivariate. Il principio di funzionamento è elegante nella sua semplicità: il modello viene addestrato esclusivamente su traffico normale, imparando a “ricostruirlo” con alta fedeltà. Quando viene esposto a traffico anomalo, l’errore di ricostruzione aumenta significativamente, segnalando la presenza di comportamenti insoliti.
Questa scelta progettuale risponde a una sfida reale: in molti contesti operativi, compreso quello di RSE, è disponibile una quantità abbondante di dati normali, ma campioni di traffico malevolo etichettato sono scarsi o assenti. L’approccio non supervisionato usato consente di addestrare il modello senza conoscenza preventiva degli specifici pattern di attacco, a prezzo di una maggiore difficoltà nel distinguere anomalie cyber da irregolarità operative benigne.
L’architettura implementata prevede un encoder a tre livelli LSTM (128, 64 e 32 unità) che comprime il segnale in una rappresentazione latente compatta, e un decoder simmetrico che lo ricostruisce. Il modello è stato addestrato su oltre 145.000 osservazioni, distribuite su 14 variabili estratte dal layer TCP – tra cui byte ricevuti e inviati in finestre temporali da 5, 15 e 30 minuti, pacchetti ritrasmessi, percentuale di ritrasmissione – campionate ogni 5 secondi. L’addestramento ha coperto dataset di diverse settimane distribuite su quattro mesi (giugno, luglio, settembre, ottobre), garantendo robustezza e capacità di generalizzazione su diverse condizioni operative.
Simulare l’attacco per imparare a riconoscerlo
Per generare dati anomali, il team ha condotto attacchi DoS controllati all’interno del laboratorio PCS-ResTest di RSE. Un host posizionato nella stessa rete locale della stazione target ha generato pacchetti ICMP e TCP (flag SYN e RST) ad alta frequenza, simulando uno scenario di minaccia interna: quello in cui un dispositivo compromesso o un accesso non autorizzato alla rete diventa vettore d’attacco.
Questo tipo di scenario è particolarmente rilevante: molti ambienti LAN operano sotto l’assunzione implicita che i dispositivi interni siano intrinsecamente affidabili, lasciando aperta una finestra di vulnerabilità significativa. Durante gli attacchi, le colonnine hanno mostrato gli effetti tipici del flooding: aumento delle ritrasmissioni, latenza nella comunicazione con il controller OCPP, disconnessioni temporanee. Tutti segnali visibili nei dashboard Kibana, tutti catturati con precisione dal modello.
I risultati: alta recall, precisione da migliorare
Il modello ha raggiunto un’accuratezza del 97,1% e una recall del 98,6% – il che significa che nessun attacco reale è stato mancato, e con un basso numero di falsi positivi.
Questa asimmetria è intenzionale. In un contesto di sicurezza per infrastrutture critiche, il costo di un falso negativo – un attacco che passa inosservato – è enormemente superiore al costo di un falso allarme che un operatore può verificare.
Un dato particolarmente significativo riguarda le anomalie operative: il modello è stato testato anche su dati contenenti disconnessioni delle stazioni di ricarica, eventi non malevoli ma ugualmente critici per la continuità del servizio. La recall in questo caso è risultata del 99%. Il sistema non si limita dunque a rilevare attacchi cyber: è un monitor di resilienza a tutto tondo, capace di segnalare qualsiasi deviazione significativa dal comportamento normale dell’infrastruttura.
L’integrazione OT come fattore abilitante
Il ruolo di Nozomi Networks Guardian nella piattaforma va oltre quello di semplice strumento di raccolta dati. La sua capacità di comprendere protocolli OT come OCPP, mappare automaticamente gli asset di rete e operare in modalità passiva – senza interferire con i sistemi di controllo industriale – lo rende un componente essenziale in ambienti dove le priorità di sicurezza e continuità operativa devono coesistere. L’integrazione tra Guardian e lo stack ELK crea una piattaforma unificata in cui i dati di sicurezza OT vengono correlati con l’analisi AI in modo coerente e scalabile, abilitando il monitoraggio in tempo reale e il rilevamento proattivo delle minacce lungo l’intera catena di comunicazione tra stazione e controller.
La strada da percorrere
I risultati attuali aprono la strada a sviluppi significativi. La priorità immediata è migliorare la precisione del modello, riducendo i falsi positivi attraverso tecniche di ensemble, soglie adattive o l’integrazione di contesto semantico dei messaggi OCPP. Sul fronte degli scenari d’attacco, l’obiettivo è estendere la copertura a minacce più sofisticate: data injection, attacchi Man-in-the-Middle, manipolazioni dei parametri di configurazione delle stazioni. Parallelamente, l’integrazione con protocolli aggiuntivi e topologie di rete più eterogenee permetterà di trasferire il framework a contesti operativi diversi, dal charging pubblico alle flotte aziendali.
Il messaggio di fondo è chiaro: la sicurezza delle infrastrutture di ricarica EV non può essere gestita con strumenti generici nati per il mondo IT tradizionale. Serve un approccio specifico per il contesto OT, capace di operare in tempo reale su traffico reale, con modelli AI addestrati su comportamenti autentici. La convergenza tra deep learning e monitoraggio specializzato OT non è un’opzione futura: è già una realtà operativa, con risultati che ne dimostrano la maturità applicativa.
Socomec annuncia la disponibilità della nuova gamma di UPS ITYS PRO, dispositivi disponibili entro un range da 10 a 20 kVA e pensate per le infrastrutture IT, ma non solo.
Eaton presenta il Building Energy Management Software per il controllo e la gestione ottimale della ricarica dei veicoli elettrici grazie all’energia solare.
Avalon Media srl, via Brioschi, 29 20842 Besana in Brianza. P.Iva: 08119820960
