Le reti di ricarica per veicoli elettrici stanno diventando un bersaglio. Con l'espansione delle infrastrutture e l'aumento del flusso di dati relativi agli automobilisti che transitano attraverso le piattaforme connesse, la questione della sicurezza informatica nella ricarica dei veicoli elettrici sta passando dall'essere una preoccupazione tecnica a diventare un requisito fondamentale per l'attività aziendale. Questo articolo spiega dove risiedono i veri punti vulnerabili e cosa devono proteggere gli operatori.

‍

Perché la sicurezza informatica nella ricarica dei veicoli elettrici è ormai una priorità aziendale

Le reti di ricarica per veicoli elettrici sono ormai considerate infrastrutture critiche in molti mercati: sono collegate alla rete elettrica, gestiscono i pagamenti e conservano dati personali su larga scala. Ciò le rende un bersaglio appetibile.

Gli operatori devono affrontare minacce su più livelli:

• Attacchi di tipo "credential stuffing" e attacchi tramite bot diretti contro i portali di accesso e registrazione dei conducenti
• Ransomware e vulnerabilità di accesso remoto che prendono di mira i sistemi di gestione delle stazioni di ricarica
• Vulnerabilità del protocollo nelle implementazioni di OCPP 1.6 prive di profili di sicurezza moderni
• Violazioni dei dati che espongono le informazioni relative ai pagamenti dei conducenti e i loro dati personali
• Attacchi di phishing tramite codici QR apposti sui punti di ricarica fisici

Per i CPO e gli EMSP, le conseguenze vanno ben oltre la semplice perdita di dati. Una piattaforma compromessa può mettere fuori uso un'intera rete, comportare rischi normativi ai sensi della direttiva NIS2 e minare la fiducia degli automobilisti su larga scala. La conformità in materia di sicurezza informatica per la ricarica dei veicoli elettrici sta diventando sempre più un requisito fondamentale per gli appalti, non una semplice voce da spuntare dopo la messa in servizio.

‍

Cosa significa la sicurezza delle piattaforme per le reti di ricarica dei veicoli elettrici

La maggior parte delle discussioni sulla sicurezza informatica in questo ambito si limita al livello di base: crittografia OCPP, aggiornamenti del firmware e segmentazione della rete. Tutti elementi necessari, ma non sufficienti. Il livello della piattaforma è altrettanto esposto e spesso viene trascurato.

I portali per i conducenti, i backend dei fornitori di servizi di gestione delle flotte (EMSP), gli endpoint API e i flussi di autenticazione gestiscono milioni di interazioni e costituiscono un’ampia superficie di attacco poco protetta.

Per gli operatori che gestiscono reti su larga scala, garantire la sicurezza della piattaforma significa affrontare:

• Rafforzamento dell'autenticazione : protezione delle procedure di accesso, registrazione e recupero della password dagli attacchi automatizzati
• Prevenzione dei bot e delle frodi: blocco del traffico non umano che gonfia i dati delle sessioni, consente addebiti fraudolenti o compromette le prestazioni della piattaforma

I flussi di addebito ad hoc (in cui gli utenti avviano sessioni senza registrarsi) rappresentano un punto di vulnerabilità particolare. È proprio qui che l'integrazione di reCAPTCHA da parte di Ocean colma direttamente questa lacuna.

‍

‍

Come funziona nella pratica

reCAPTCHA è implementato nel Portale Ad-Hoc per autisti di Ocean, il flusso di fatturazione senza registrazione in cui gli autisti avviano sessioni senza un account sulla piattaforma. Poiché la fatturazione ad-hoc non richiede alcun accesso, rappresenta un punto di ingresso aperto per l'avvio di sessioni fraudolente. Prima che qualsiasi sessione venga autorizzata, reCAPTCHA esegue una valutazione automatica del rischio in background, assegnando a ogni interazione un punteggio di affidabilità compreso tra 0,0 e 1,0. Le richieste che scendono al di sotto della soglia configurata vengono bloccate prima dell'avvio della sessione. Gli autisti legittimi non subiscono alcuna interruzione, poiché la convalida viene eseguita in modo silenzioso.

Per i CPO, la protezione è configurabile direttamente dal portale degli operatori. Gli operatori possono abilitare o disabilitare reCAPTCHA, impostare la soglia di punteggio in base alla propria tolleranza al rischio e configurare le credenziali dell'account di servizio richieste. Soglie più elevate comportano una convalida più rigorosa, consentendo di individuare un maggior numero di richieste sospette, con un margine più ristretto per i casi limite.

‍

Cosa comporta tutto ciò per il livello di sicurezza della tua rete

La sicurezza informatica nella ricarica dei veicoli elettrici sta passando dall'essere una "best practice" a diventare un requisito fondamentale. Le reti in grado di dimostrare l'adozione di controlli di sicurezza verificabili, un'architettura di piattaforma certificata e sistemi integrati di prevenzione degli abusi sono in una posizione migliore per aggiudicarsi contratti con i responsabili degli acquisti aziendali (CPO), soddisfare gli obblighi normativi e mantenere la fiducia degli automobilisti su larga scala.

Per i partner di Ocean, ciò significa:

• Protezione reCAPTCHA integrata per il Portale Ad-Hoc per i conducenti - configurabile dagli operatori sin dal primo giorno, senza necessità di ulteriori sviluppi
• Minore esposizione al rischio di avvio fraudolento di sessioni, abuso delle credenziali e manipolazione delle sessioni su tutta la rete