Anche le autorità danesi hanno avviato un’indagine urgente su una vulnerabilità nei sistemi di sicurezza informatica dei propri autobus elettrici fabbricati da Yutong, in Cina. La decisione arriva dopo che le autorità di trasporto della Norvegia, dove circolano gli stessi veicoli prodotti da Yutong, hanno scoperto che il fornitore cinese disponeva di accesso remoto ai sistemi di controllo dei mezzi per aggiornamenti software e diagnostica. L’indagine danese, come riporta il quotidiano britannico The Guardian, coinvolge centinaia di autobus elettrici prodotti dalla casa cinese, operativi nel paese scandinavo da diversi anni. Movia, la principale società di trasporto pubblico danese, gestisce attualmente 469 autobus elettrici di produzione cinese, dei quali 262 sono stati fabbricati da Yutong. Il direttore operativo di Movia, Jeppe Gaard, ha spiegato che gli autobus elettrici possono essere disattivati da remoto se i loro sistemi software sono connessi a internet. Ed ha aggiunto, inoltre, che “non si tratta di un problema specifico degli autobus cinesi, ma riguarda tutti i veicoli e i dispositivi dotati di componenti elettronici cinesi”. Yutong è il principale produttore mondiale di autobus elettrici, ed alcuni dei suoi modelli sono utilizzati anche in Italia.
Il test norvegese che ha svelato la sim incriminata
La vicenda ha preso avvio quando l’azienda norvegese di trasporto pubblico Ruter, responsabile della gestione degli autobus in città, ha condotto test approfonditi su due autobus elettrici in un ambiente isolato, all’interno di una montagna. I veicoli sottoposti a esame erano un autobus nuovo di produzione Yutong (il modello U12) e un mezzo di tre anni prodotto dall’olandese Vdl. I risultati dei test hanno mostrato che l’autobus cinese può ricevere aggiornamenti software da remoto tramite una scheda sim rumena integrata nel veicolo, il che in teoria potrebbe permettere di fermarlo o renderlo inutilizzabile. L’azienda di trasporto norvegese ha affermato di non aver trovato prove di alcuna attività malevole sugli autobus. Tuttavia ha già detto di aver rimosso le schede sim e di star rafforzando le regole di approvvigionamento, i firewall interni e i requisiti di sicurezza cloud dei veicoli. Bernt Reitan Jenssen, amministratore delegato di Ruter ha aggiunto che l’azienda deve intervenire ora, prima dell’arrivo di nuovi modelli di autobus, che potrebbero avere sistemi più integrati e quindi più difficili da proteggere. Jon-Ivar Nygård, ministro dei Trasporti norvegese, ha dichiarato all’emittente pubblica Nrk che il governo sta valutando i rischi associati ai fornitori provenienti da paesi esterni alle alleanze di sicurezza della Norvegia, soprattutto per quanto riguarda le infrastrutture critiche.
Yutong è il principale produttore mondiale di autobus elettrici
Yutong, fondata nel 1963 a Zhengzhou nella provincia cinese di Henan, rappresenta il più grande produttore mondiale di autobus per volume di vendite dal 2016. L’azienda ha esportato quasi 110mila autobus in oltre 100 paesi, conquistando oltre il 10% della quota di mercato globale e il 30% del mercato interno cinese. L’azienda detiene ha stabilito una rete di vendita e assistenza che copre sei regioni in tutto il mondo, incluse Europa, Asia-Pacifico, America Latina, Africa, Medio Oriente e Russia. È presente in Europa dal 2005, dove ha consegnato almeno 6mila di autobus in 26 paesi, operando sia nel trasporto urbano sia in quello extra‑urbano. In Italia, ad esempio, nel marzo 2024 Yutong ha consegnato all’azienda di trasporti pubblici di Palermo 10 autobus completamente elettrici del modello ICE12, progettati per il trasporto urbano ed extra‑urbano a zero emissioni. Nel marzo 2025, invece, ha fornito ad Atb Bergamo 4 nuovi e‑bus “full electric” Yutong E9, pagati con i fondi del Pnrr.
La risposta di Yutong alla “scoperta”
L’azienda cinese ha risposto alle accuse affermando di conformarsi rigorosamente alle leggi, ai regolamenti e agli standard di settore applicabili nei luoghi in cui operano i suoi veicoli. Yutong ha specificato, inoltre, che i dati dei terminali dei veicoli nell’Unione europea vengono archiviati presso un centro dati di Amazon web services a Francoforte, in Germania. L’azienda ha dichiarato che i dati vengono utilizzati esclusivamente per la manutenzione, l’ottimizzazione e il miglioramento dei veicoli al fine di soddisfare le esigenze di assistenza post-vendita dei clienti. Secondo l’azienda, i dati sarebbero protetti da crittografia di archiviazione e misure di controllo degli accessi, ciò significa che nessuno può accedere o visualizzare questi dati senza l’autorizzazione del cliente.
Ma in Europa è scattato un piano di revisione, per ridurre la dipendenza tecnologica
Intanto, l’Agenzia danese per la protezione civile e la gestione delle emergenze ha dichiarato di non aver registrato alcun caso di autobus disattivati, ma ha avvertito che i sistemi connessi a Internet a bordo dei veicoli — comprese telecamere, microfoni e moduli gps — potrebbero comunque rappresentare punti di vulnerabilità. Thomas Rohden, consigliere regionale del partito Social-Liberale, ha spiegato al Guardian che la Danimarca è stata “troppo lenta” nel riconoscere i rischi derivanti dalla dipendenza dalle aziende cinesi. Secondo Rohden, affidarsi completamente alla Cina non è molto resiliente, soprattutto in un contesto in cui il paese stesso cerca di rafforzare la propria sicurezza di fronte a possibili attacchi ibridi provenienti dalla Russia.
La vicenda norvegese e danese si inserisce in un contesto geopolitico più ampio, in cui le nazioni occidentali stanno riconsiderando la propria dipendenza dalla tecnologia cinese o americana per le infrastrutture critiche. Le preoccupazioni legate alla sicurezza della catena di approvvigionamento, infatti, non riguardano solo gli autobus elettrici. In tutta Europa, diversi paesi hanno già introdotto misure restrittive in altri settori: nelle telecomunicazioni, Regno Unito, Svezia e Danimarca hanno imposto divieti o forti limitazioni all’uso di apparecchiature Huawei e ZTE nelle reti 5G nazionali, citando il rischio di spionaggio. Anche la tecnologia di videosorveglianza cinese è sotto scrutinio e restrizioni: telecamere prodotte da Hikvision e Dahua sono state vietate in siti governativi sensibili nel Regno Unito e negli edifici del Parlamento europeo.
