La rete elettrica italiana? È fra le più evolute al mondo. Gridspertise ci spiega perché

Qualche tempo fa, su Edge9 avevamo parlato di una vulnerabilità sul sistema Radio Ripple Control, utilizzato per il controllo e la gestione della rete elettrica di alcuni Paesi europei, fra cui la Germania. Sintetizzando all’estremo, il principale problema era dovuto al fatto che le comunicazioni non erano cifrate, né prevedevano autenticazione. Questo potrebbe permettere a un malintenzionato di mettere in crisi la rete elettrica, il tutto utilizzando strumenti comuni come delle SD Radio (Software Defined Radio: radio definite via software). Viene spontaneo chiedersi qual è lo stato della rete elettrica italiana, e per scoprirlo abbiamo intervistato Gennaro Fiorenza, Head of TLC and Cyber Security Competence Center di Gridspertise, spin-off del Gruppo Enel, che ci ha spiegato le differenze della “grid” italiana da altre reti europee e non solo.

Chi è e cosa fa Gridpsertise?

Gridpsertise è un’azienda che sviluppa servizi e soluzioni che contribuiscono alla digitalizzazione delle reti elettriche di distribuzione.

“Le tecnologie e i servizi che abilitano i casi d'uso che vanno sotto il nome di smart metering”, spiega Fiorenza. “Nel nostro caso, quando parliamo di soluzioni ci riferiamo alle tecnologie che i distributori utilizzano per il controllo e l'automazione della rete elettrica”. I clienti? I distributori di energia a livello globale. Fra questi ovviamente ci sono le realtà della galassia Enel, sia in Europa sia in America Latina. Ma non mancano clienti in Europa e in Italia, in particolare tanti piccoli distributori del Bel Paese, come Deval, attivo in Valle d’Aosta, la società elettrica del Trentino Alto Adige, e svariate piccole municipalizzate. “In questo periodo abbiamo anche attivato diversi proof of concept per far conoscere le nostre tecnologie a una moltitudine di potenziali clienti che vanno dall'estremo Oriente fino al Nord America, passando per il centro dell'Asia, il Medio Oriente e non solo”, sottolinea Fiorenza.

La rete elettrica italiana è al sicuro?

Se già la rete elettrica tedesca è poco sicura, quale sarà la situazione in Italia, un Paese che solitamente arriva in ritardo sulla digitalizzazione e l’innovazione tecnologica? Inaspettatamente, sotto questo profilo l’Italia è all’avanguardia: “la realtà italiana credo che sia una delle più avanzate dal punto di vista della digitalizzazione”, afferma Fiorenza. “Sebbene Gridspertise sia una realtà nuova come società, la digitalizzazione - anche se probabilmente non sotto questo nome – da noi è partita fin dall'inizio degli anni 2000, forse alla fine degli anni 90. La prima versione del contatore elettronico risale a quel periodo”. Il fatto che l’Italia sia partita in anticipo con gli smart meter rispetto ad altri Paesi europei non è l’unico motivo per cui possiamo considerare questa rete di distribuzione all’avanguardia. Ci sono anche altre ragioni. Una è storica: nel Dopoguerra è stato fatto un lavoro per nazionalizzare la rete elettrica, cosa che non è avvenuta in altri Paesi occidentali, “dove il settore dell’energia è molto più parcellizzato, un’unione di micro realtà controllate dalle varie municipalità. Questo accade in Germania e anche nel Nord Europa, ma meno in Francia, che ha avuto un approccio simile al nostro”. Il secondo aspetto è legato al quadro regolatorio nazionale di cui si è dotata l’Italia, e che grazie ai suoi meccanismi di incentivazione ha spinto i distributori a continuare a migliorare costantemente la qualità dei servizi erogati. Investimenti non solo infrastrutturali, ma anche in tecnologie digitali. Driver che, secondo Fiorenza, “hanno spinto i distributori che operano in Italia ad adottare nel tempo delle soluzioni che sono molto più avanzate di quelle che si possono vedere anche in Nord America e in altri in altri Paesi che noi definiamo sviluppati”.

Al contrario, in altri Paesi, come la già citata Germania, è stato seguito un approccio differente, che ha portato ad avere attivi ancora oggi sistemi come il Radio Ripple Control che soffrono di pesanti limitazioni: il fatto che le comunicazioni di un’infrastruttura critica come quella elettrica non siano cifrate e che manchi qualsivoglia forma di autenticazione è piuttosto grave, ma è un lascito del passato. “Sono possibili attacchi del tipo man in the middle, oppure di spoofing”, spiega Fiorenza. Qualcosa che nelle implementazioni della rete italiana “non esiste”, afferma il manager. Sottolineando anche come Gridspertise sotto un certo profilo abbia un forte vantaggio su altri operatori: “il nostro team di cybersecurity si occupa anche di telecomunicazioni. Noi nasciamo come specialisti del networking, e di conseguenza abbiamo esperienza sulla sicurezza informatica. Abbiamo vissuto il passaggio da network security a security by design”. A tal proposito cita la soluzione di osservabilità sviluppata dall’azienda, che quando è stata sviluppata si è basata su due pilastri: il primo è la cifratura del canale di comunicazione. “Qualsiasi comunicazione è cifrata perché andiamo a creare delle VPN lungo tutto il percorso che va dalla cabina secondaria, dove tipicamente è allacciato il produttore, fino alla cabina primaria, cioè l'impianto di trasformazione che nella rete elettrica è in un livello gerarchico più alto, fino al centro di controllo”. Non solo le comunicazioni sono cifrate, ma avvengono su una rete separata dal punto di vista fisico e logico dalle reti dei produttori e distributori.

Un altro aspetto importante è che Gridspertise ha partecipato ai comitati tecnici per la stesura delle norme su come andava implementata la comunicazione, che non solo è cifrata, ma è anche basata su TLS, quindi richiede autenticazione, che è il secondo pilastro su cui è si basa la digitalizzazione della grid italiana. Per capirci, soluzioni come Radio Ripple Control non sono a norma: non rispettano gli standard imposti dalla recente NIS2, la normativa alla quale devono sottostare le realtà che operano nell’ambito delle infrastrutture critiche, come appunto la rete elettrica. Non solo: “ad agosto 2025 sarà in vigore la nuova versione di Radio Equipment Directive, che impedirebbe l’uso di dispositivi radio che non implementano soluzioni di cifratura”, afferma Fiorenza.

Prima di concludere l’intervista, chiediamo a Fiorenza se il vantaggio competitivo e tecnologico di aziende che offrono soluzioni più evolute potrebbe anche essere usato come leva di business. Oggi, infatti, quando si sceglie un contratto energetico ci si affida a un solo parametro: il costo. Due, se consideriamo le esigenze di chi eroga solo energia certificata come proveniente da rinnovabili. Una rete elettrica più sicura dal punto di vista cyber può venire usato come strumento di marketing, insomma? “Credo che i tempi siano maturi da un punto di vista di marketing per sfruttare questa possibilità. Penso che ci sia questa sensibilità e che si possa lavorare sulla capacità di differenziarsi dal punto di vista della cybersecurity. Lungo tutta la filiera”.