Scienza e innovazione

Anomalie al sistema anticollisione degli aerei in atterraggio a Washington: ricercatori italiani mostrano che i dati sono compatibili con un cyberattacco

03 Febbraio, 2026

Dopo aver scoperto alcune pericolose vulnerabilità del sistema anticollisione TCAS ed averle validate con successo in laboratorio, i ricercatori dell’Università di Genova e del CASD – Scuola Superiore Universitaria e, con il supporto del partenariato PNRR SERICS - Security and Rights in Cyber Space, hanno analizzato un caso reale: una serie di allarmi del sistema anticollisione TCAS registrati nell’arco di 3 ore da parte di 10 aerei di linea in fase di atterraggio all’aeroporto Ronald Reagan di Washington il 1° marzo 2025

L’analisi indica che il comportamento osservato è compatibile con un cyberattacco in volo al sistema anticollisione, ma in una variante finora non documentata. A tutela di scenari operativi futuri, il gruppo di ricerca ha inoltre sviluppato un nuovo metodo per individuare la sorgente dell’attacco.

Giacomo Longo, Giacomo Ratto, Alessio Merlo, Enrico Russo
Giacomo Longo, Giacomo Ratto, Alessio Merlo, Enrico Russo

Il sistema anticollisione TCAS e le vulnerabilità identificate nel 2024  

Il sistema anticollisione degli aerei di linea rappresenta l'ultima barriera di sicurezza per evitare collisioni in volo. Attraverso comunicazioni radio, rileva altri velivoli nelle vicinanze e, quando necessario, emette istruzioni obbligatorie per effettuare manovre evasive coordinate tra gli aeromobili coinvolti. Nel 2024, ricercatori dell'Università di Genova e del CASD - Scuola Superiore Universitaria avevano mostrato che, sfruttando debolezze nei protocolli radio, era possibile ingannare questo sistema: erano stati generati falsi allarmi di collisione e disabilitate funzioni critiche utilizzando apparecchiature certificate, identiche a quelle installate sugli aerei civili [1][2][3]. Nel gennaio 2025, l'agenzia statunitense di cybersecurity (CISA) aveva pubblicato un bollettino [4] che riconosceva queste vulnerabilità, precisando tuttavia che esse erano state dimostrate soltanto in un contesto di laboratorio.

L’incidente di Washington

Nell’arco dell’intera mattinata del 1° marzo 2025, 10 aeromobili in fase di atterraggio sulla pista 19 del Ronald Reagan di Washington hanno registrato una sequenza insolita di allarmi del TCAS. Al momento non esistono spiegazioni ufficiali sugli episodi, ma si è parlato, in generale, di possibili malfunzionamenti o interferenze.

I risultati della nuova ricerca 

Ricercatori del CASD - Scuola Superiore Universitaria (Giacomo Longo, Giacomo Ratto e Alessio Merlo) e dell’Università di Genova (Enrico Russo) hanno condotto una nuova ricerca, basata sull'esame indipendente dei dati pubblici disponibili, che evidenzia forti analogie tra le dinamiche osservate nell’incidente di Washington [5] e quelle emerse nei cyberattacchi già riprodotti in laboratorio. A partire da queste evidenze, la ricerca ha inoltre identificato una nuova tecnica di attacco che apre scenari finora non considerati per la sicurezza del traffico aereo.

Enrico Russo, Alessio Merlo, Giacomo Ratto, Giacomo Longo
Enrico Russo, Alessio Merlo, Giacomo Ratto, Giacomo Longo

Verso nuove contromisure

L’agenzia federale statunitense CISA – Cybersecurity and Infrastructure Security Agency ha evidenziato come il protocollo alla base del sistema anticollisione presenti debolezze strutturali, per le quali non risultano disponibili contromisure operative. L’intero sistema, inoltre, si basa su componenti certificati e difficili da sostituire rapidamente. Per la prima volta, lo studio propone una forma di difesa immediatamente applicabile a tutti gli scenari di attacco: un sistema di monitoraggio che sfrutta i dati operativi già disponibili per individuare tempestivamente segnali anomali. Questo approccio consente di rilevare, caratterizzare e localizzare trasmissioni sospette senza modificare le apparecchiature di bordo né ricorrere a infrastrutture aggiuntive

I ricercatori hanno dimostrato che, applicato al caso di Washington, il metodo avrebbe fornito indicazioni utili per individuare la possibile posizione del trasmettitore già entro 40 minuti dal primo allarme.

La diffusione dei risultati 

I risultati completi della ricerca saranno presentati alla prestigiosa conferenza scientifica internazionale Network and Distributed System Security (NDSS) Symposium che si terrà a San Diego nel febbraio 2026 [6]

Il contributo dei progetti ARTIC e NoMeN 

La scoperta è stata resa possibile grazie ai risultati ottenuti nei progetti ARTIC – Affordable, Reusable and Truly Interoperable Cyber ranges e NoMeN – Novel Methodologies and Tools for Next Generation Cyber Ranges, finanziati con fondi PNRR attraverso il partenariato SERICS [7], in cui lo sviluppo di metodologie innovative per la replica virtuale di sistemi cyber-fisici complessi ha consentito di realizzare una replica precisa del sistema TCAS, grazie alla quale i ricercatori hanno potuto individuare e verificare le vulnerabilità.

Riferimenti 

[1] G. Longo, M. Strohmeier, E. Russo, A. Merlo, V. Lenders: "On a Collision Course: Unveiling Wireless Attacks to the Aircraft Traffic Collision Avoidance System (TCAS)", Usenix 2024.aqw
[2] Video presentazione DEF CON
[3] Video presentazione USENIX Security
[4] Bollettino CISA
[5] "Numerous COLLISION WARNINGS Near Washington DCA Airport!", video evento 1° marzo 2025
[6] G. Longo, G. Ratto, A. Merlo, E. Russo: "Unknown Target: Uncovering and Detecting Novel In-Flight Attacks to Collision Avoidance (TCAS)", NDSS 2026
[7] Sito SERICS

Tags
unige
unigenova
cybersecurity
sicurezza