Mentre l’energia solare diventa sempre più parte integrante degli obiettivi europei in materia di energia pulita e sicurezza energetica, l’European Solar Manufacturing Council (ESMC), l’associazione che rappresenta i produttori di energia solare del continente, ha recentemente lanciato un serio allarme: l’accesso remoto via software agli inverter fotovoltaici europei – ossia le unità di controllo essenziali dei sistemi di energia solare – prodotti da produttori non europei, in particolare quelli cinesi, presentano importanti vulnerabilità cibernetiche.
Indice degli argomenti
La minaccia informatica del solare cinese per l’Europa
Per questo, in aggiunta ad un divieto generalizzato all’importazione di inverter dalla Cina in tutti gli Stati membri dell’Unione Europea (UE), l’associazione di categoria ha anche domandato l’immediata adozione di un “Inverter Security Toolbox”, vale a dire un sistema di monitoraggio e mitigazione dei rischi simile a quello realizzato dall’UE nel settore delle telecomunicazioni con la tecnologia di rete cellulare 5G.
Nella sua istanza, l’ESMC richiama un rapporto sulla sicurezza informatica della società di consulenza DNV, dal titolo “Solutions for PV Cyber Risks to Grid Stability”, in cui si evidenzia come un attacco a soli 3 GW di capacità di inverter potrebbe avere “implicazioni significative” per la rete elettrica europea. Un documento, questo, che avverte come quasi il 70% di tutti gli inverter fotovoltaici installati a livello globale nel 2023 provenga da produttori cinesi.
Non è la prima volta che l’ESMC chiede agli organi europei maggiori sforzi in materia di sicurezza informatica. Proprio lo scorso anno, subito dopo l’approvazione del quadro normativo denominato “Net Zero Industry Act” volto a promuovere la competitività dell’industria e delle tecnologie necessarie per la decarbonizzazione europea, l’associazione ha pubblicato un documento di raccomandazione ad hoc.
In precedenza, nel 2023, è stata l’Autorità olandese per le infrastrutture digitali (RDI) ad aver lanciato l’allarme sulle vulnerabilità degli inverter dei pannelli solari, aggiungendo che “nessuno dei nove inverter testati ha soddisfatto lo standard” di sicurezza informatica.
Ad inizio di aprile scorso, infine, i ricercatori dell’azienda di sicurezza informatica Forescout hanno scoperto 46 vulnerabilità negli inverter solari di tre importanti fornitori, tra i quali due di essi, Sungrow e Growatt, hanno sede in Cina.
In effetti, con il passaggio globale alle energie rinnovabili, l’attenzione si sta spostando sempre più sui sistemi digitali che consentono questa trasformazione. Ed è proprio l’energia solare – uno dei pilastri fondamentali dell’energia pulita – in quanto dipendente da inverter e piattaforme di controllo in rete, è divenuta un bersaglio interessante per gli attacchi informatici, portando gli esperti a richiedere miglioramenti della sicurezza.
La minaccia concreta del solare cinese alla rete elettrica europea
Per questo, nel novembre 2024, i legislatori lituani hanno adottato una legge – unica nel suo genere – volta a limitare la capacità dei produttori cinesi di inverter di accedere da remoto agli impianti solari ed eolici del Paese.
Christoph Podewils, Segretario Generale dell’ESMC, ha dichiarato che oltre 200 GW della capacità fotovoltaica europea sono attualmente collegati a inverter prodotti in Cina, una quantità paragonabile alla potenza di oltre 200 centrali nucleari. Ha avvertito che questo ha di fatto posto il controllo remoto di una parte significativa dell’infrastruttura elettrica europea in mani straniere.
La connettività Internet è essenziale affinché gli inverter moderni possano svolgere funzioni di supporto alla rete e partecipare ai mercati energetici. Tuttavia, questa connettività consente anche aggiornamenti software da remoto, consentendo ai produttori di modificare potenzialmente le prestazioni dei dispositivi.
Ciò comporta gravi rischi per la sicurezza informatica, tra cui quello di interruzioni intenzionali (sabotaggio) su larga scala, ha avvertito l’ESMC, evidenziando una minaccia critica all’autonomia energetica dell’Europa derivante dalle capacità di accesso remoto non regolamentate a tali inverter fotovoltaici.
A questo rischio, l’associazione di categoria ha aggiunto ulteriori preoccupazioni, quali:
- il 70% di tutti gli inverter installati nel 2023 proveniva da fornitori cinesi, principalmente Huawei e SunGrow;
- queste due aziende da sole controllano già l’accesso remoto a 168 GW di capacità fotovoltaica in Europa (rapporto DNV, p. 40).
- entro il 2030 si prevede che questa cifra supererà i 400 GW, ovvero la potenza prodotta da 150-200 centrali nucleari.
- uno di questi fornitori è già stato bandito dal settore 5G in molti Paesi ed è attualmente sotto inchiesta in Belgio per corruzione e concussione.
Proposte per la sicurezza informatica degli inverter fotovoltaici
L’ESMC ha chiesto all’UE un intervento immediato, da realizzarsi attraverso l’istituzione di un “Inverter Security Toolbox”, ossia un sistema di monitoraggio e mitigazione dei rischi modellato sul “5G Security Toolbox”, che comprenda:
- una valutazione completa dei rischi dei produttori di inverter;
- il requisito secondo cui ai venditori ad alto rischio non deve essere consentito di mantenere una connessione online ai sistemi elettrici europei;
- la valutazione del divieto totale a tali fornitori di connettersi alla rete;
- una replica della legislazione proattiva della Lituania, che vieta l’importazione di inverter dalla Cina, in tutti gli Stati membri dell’UE, garantendo l’applicazione delle misure di sicurezza agli impianti fotovoltaici di tutte le dimensioni.
“L’Europa deve agire ora per prevenire una futura crisi energetica che potrebbe competere con la dipendenza del gas dalla Russia”, ha affermato Podewils. “Sosteniamo la prossima valutazione della Commissione europea sui rischi per la sicurezza informatica nella filiera dell’energia solare e siamo pronti a mettere a disposizione la nostra competenza”.
L’analisi dei rischi nel rapporto DNV
Il rapporto prodotto da DNV e commissionato dalla SolarPower Europe afferma che l’UE dovrebbe aggiornare la propria legislazione sulla sicurezza informatica che, a dire degli analisti, si concentra su un’infrastruttura energetica centralizzata e obsoleta, mentre dovrebbe “affrontare le specifiche esigenze di sicurezza delle fonti energetiche distribuite, come i piccoli impianti solari sui tetti”.
Secondo l’analisi, una compromissione mirata di 3 GW di capacità di generazione può avere implicazioni significative per la rete elettrica europea. L’analisi rivela che oltre una dozzina di produttori occidentali e non occidentali controllano oggi significativamente più di 3 GW di capacità installata. Di conseguenza, delle 14 aree di rischio valutate nel rapporto, 5 sono classificate come a medio rischio, 6 ad alto rischio e 3 a rischio critico. La misurazione del rischio combina la gravità dell’impatto e la probabilità. Mentre la legislazione europea adottata, come il Cyber Resilience Act, la Direttiva NIS2 e il Network Code for Cybersecurity (NCCS) mitigano alcuni dei rischi, SolarPower Europe delinea un percorso per raggiungere lo status di “basso rischio” in tutte le 14 aree di rischio.
Per tornare a una categoria di rischio “basso” per la sicurezza informatica, il documento, dunque, raccomanda due soluzioni:
- la prima garantirebbe che le leggi esistenti in materia di sicurezza informatica siano sufficientemente specifiche per le esigenze del settore solare;
- la seconda introdurrebbe nuove norme che mantengano il controllo degli impianti solari interessati tramite inverter all’interno dell’UE o di giurisdizioni in grado di garantire un livello di sicurezza equivalente.
Per quanto riguarda quest’ultima, l’analisi raccomanda di seguire un approccio simile alle norme del GDPR, in base al quale il controllo di dispositivi distribuiti aggregati, come i piccoli impianti solari su tetto, dovrebbe avvenire solo in regioni considerate equivalenti in termini di sicurezza a quelle dell’UE. Questa soluzione dovrebbe essere implementata tramite l’EU NCCS o un’altra nuova procedura accelerata. Le entità ad alto rischio sarebbero quindi tenute a sviluppare soluzioni informatiche che sarebbero monitorate e approvate dalle autorità competenti.
“Come ogni rivoluzione tecnologica, la digitalizzazione offre incredibili opportunità, ad esempio un risparmio sui costi del sistema energetico di 160 miliardi di euro all’anno. Ma porta anche con sé nuove sfide, come la sicurezza informatica. Non avevamo bisogno di una protezione antivirus per una macchina da scrivere, ma ne abbiamo bisogno per i nostri laptop”, ha dichiarato Walburga Hemetsberger, CEO di SolarPower Europe.
le vulnerabilità identificate da forescout negli inverter fotovoltaici (non solo cinesi)
Ad aprile scorso, è stata l’azienda informatica statunitense Forescout ad aver reso note 46 vulnerabilità negli inverter solari di tre importanti fornitori: Sungrow e Growatt, con sede in Cina, e SMA Solar Technology, con sede in Germania. Inoltre, i ricercatori hanno scoperto che l’80% delle vulnerabilità nei sistemi di energia solare divulgate negli ultimi tre anni è stato classificato come di gravità elevata o critica.
Questi risultati rivelano gravi debolezze sistemiche della sicurezza nell’ecosistema solare che potrebbero avere un impatto sulla stabilità della rete elettrica, sulle operazioni dei servizi di pubblica utilità e sulla privacy dei dati dei consumatori, ha affermato Forescout.
Le vulnerabilità includono perdite di informazioni, buffer overflow e difetti nel codice del sito web.
Il rapporto ha rilevato che gli inverter Growatt erano particolarmente esposti a causa di debolezze fondamentali nella piattaforma cloud dell’azienda. Questi problemi avrebbero potuto consentire agli hacker di accedere e modificare i dispositivi Growatt senza dover effettuare il login. Secondo Forescout, una falla ha permesso agli aggressori di “caricare file arbitrari” sulla piattaforma, mentre un’altra ha rivelato elenchi di utenti autorizzati.
Secondo il documento, gli attacchi agli inverter Sungrow e SMA sono stati, invece, “più complessi, ma hanno comunque sfruttato falle di sicurezza fondamentali, come credenziali di accesso hardcoded e vulnerabilità di stack overflow”. In particolare, è emerso che mentre un sito web SMA era configurato in modo errato, consentendo l’esecuzione di codice non autorizzato, un’app Sungrow per Android non è riuscita a convalidare i certificati di sicurezza e si basava su una crittografia debole, rendendola vulnerabile ad attacchi man-in-the-middle.
Tali vulnerabilità, ha avvertito l’azienda, potrebbero consentire agli hacker di raccogliere informazioni sulle apparecchiature e sui loro utenti, di manipolare i dati all’interno dei portali web e persino di sovrascrivere il firmware del dispositivo con codice dannoso.
Interventi legislativi sulla sicurezza degli inverter: Lituania e Usa
Nel 2024, la Lituania ha approvato una norma che limita la possibilità per le aziende cinesi di accedere da remoto ai sistemi di controllo dei parchi solari ed eolici e delle batterie di potenza superiore a 100 kW, con l’obiettivo di rafforzare la sicurezza informatica. Questa legge, che è entrata in vigore il 1° maggio 2025, obbliga gli operatori di nuove centrali elettriche a implementare ulteriori misure di salvaguardia per i sistemi di gestione delle informazioni e gli inverter, in particolare quelli prodotti da “Paesi ostili” come la Cina. Anche se le apparecchiature esistenti di produzione cinese non saranno vietate, gli operatori dovranno garantire che i loro sistemi soddisfino i nuovi standard di sicurezza.
La situazione statunitense
Sebbene nessuno stato abbia emanato un divieto assoluto sugli impianti solari ed eolici cinesi, vi è una crescente preoccupazione sia a livello federale che statale riguardo ai rischi per la sicurezza informatica associati alla tecnologia di fabbricazione straniera nelle infrastrutture critiche.
Diversi stati hanno introdotto o approvato leggi per vietare o limitare l’uso della tecnologia cinese negli enti governativi, concentrandosi su potenziali attacchi informatici e sulla dipendenza da apparecchiature provenienti da “Paesi di interesse”. Questi divieti spesso colpiscono sistemi informatici, droni e altre tecnologie, ma il dibattito si sta estendendo anche alle infrastrutture energetiche.
Al momento, il governo federale si è limitato ad adottare misure come il divieto di importazione da specifiche aziende cinesi produttrici di energia solare a causa di problemi di lavoro forzato nella regione dello Xinjiang. Sebbene non si tratti di un divieto diretto di accesso al sistema, esso limita la disponibilità di alcuni componenti di fabbricazione cinese sul mercato statunitense.
