Approfondimento chiave
Domanda. I satelliti definiti dall’hardware erano sicuri perché non potevano essere modificati. I satelliti software-defined devono essere sicuri nonostante siano riconfigurabili da remoto. La domanda è se gli operatori che li implementano abbiano compreso appieno quali conseguenze comporti tale inversione sul loro modello di minaccia.
Tesi. Non l’hanno fatto. Il rischio principale per la flotta software-defined non è un attacco orbitale, bensì l’intrusione nel segmento di terra attraverso vulnerabilità note e non corrette: il punteggio è Probabilità 5 × Impatto 5 × Vulnerabilità 1,25 = 31,25 (vedi “Quadro di riferimento dei rischi” nel Glossario alla fine dell’articolo per le definizioni della matrice delle minacce di seguito), il valore più alto dell’inventario e in forte ascesa. Quel percorso di intrusione alimenta un canale di aggiornamento del firmware che svolge una triplice funzione: è ciò che rende preziosa la piattaforma, il modo in cui un aggressore vi accede e l’unico strumento disponibile per risolvere il problema in seguito. Cinque minacce della zona critica convergono sull’accesso a terra, l’inserimento nella catena di approvvigionamento e le debolezze crittografiche. Una singola catena di attacco comprovata copre già gran parte del percorso dall’intrusione remota all’effetto equivalente a un’arma: il modello Viasat KA-SAT del 2022, ora esteso dagli incidenti di dirottamento di Eutelsat e SES del 2025-2026. L’inversione architettonica è reale, i precedenti esistono e le barriere di mitigazione sono dimostrabilmente più deboli di quelle preventive.
Stato dell’arte
I satelliti software-defined non sono più in fase sperimentale. Eutelsat Quantum è operativo dal 2021. Airbus OneSat e Thales Alenia Space Inspire stanno entrando in servizio dopo ritardi ben documentati di 1-2 anni. Starlink esegue aggiornamenti continui del firmware come modalità operativa di base. La loro capacità distintiva (fasci riconfigurabili, piani di frequenza regolabili, accesso diretto del cliente al carico utile, aggiornamenti software in orbita) è ciò che giustifica la spesa in conto capitale. Quella stessa capacità è ciò che ridefinisce la loro superficie di attacco. Un satellite definito dall’hardware presenta a un avversario un bersaglio a funzione fissa il cui profilo di rischio è determinato al momento del lancio. Una piattaforma software-defined presenta un endpoint continuamente autenticato il cui profilo di rischio cambia ogni volta che viene elaborato un comando di configurazione.
La risposta istituzionale è in corso ma non è ancora completa. L’ENISA classifica lo spazio come settore di “elevata criticità” ai sensi della direttiva NIS2 , con 125 controlli di sicurezza informatica mappati sulle fasi del ciclo di vita e un orizzonte di conformità fissato al 2027. Il programma 4S dell’ESA finanzia la ricerca sulla sicurezza informatica dei satelliti, l’Estonia Space Cyber Range e lavori sulla crittografia post-quantistica tramite il progetto PQC ASTrAL . Il Moonlighter CubeSat della Aerospace Corporation consente di svolgere esercitazioni di hacking nello spazio. Space ISAC raccoglie informazioni sulle minacce su base volontaria. Nessuno di questi strumenti costituisce ancora un mandato operativo; tutti stanno cercando di stare al passo con una curva di implementazione già avviata.
Complicazioni
L’ETH di Zurigo ha documentato 124 operazioni informatiche contro sistemi spaziali solo durante il conflitto in Ucraina. Lo Space ISAC registra più di 100 tentativi di attacco alla settimana. L’attacco al KA-SAT di Viasat del febbraio 2022 ha dimostrato, con dettagli forensi completi, che la via d’accesso passa attraverso le infrastrutture di terra. L’effetto viene trasmesso attraverso il canale di aggiornamento del firmware. Tra il 2025 e l’inizio del 2026, cinque satelliti Eutelsat e un satellite SES sono stati dirottati per trasmissioni non autorizzate: a riprova del fatto che la riconfigurazione dei satelliti senza il consenso dell’operatore non è più una preoccupazione puramente teorica. Parallelamente, i ricercatori di VisionSpace hanno rivelato vulnerabilità nel software open-source di controllo satellitare al Black Hat 2025 . Tra queste figuravano l’esecuzione remota di codice nel framework cFS della NASA e molteplici difetti in CryptoLib, la libreria crittografica che garantisce l’autenticazione sicura dei comandi per missioni quali il JWST. L’inversione architettonica si è scontrata con un avversario attivo in una corsa contro il tempo che i difensori non stanno vincendo.
L’argomentazione
L’intrusione nel segmento di terra, e non l’attacco orbitale, è il vettore di accesso predominante.
Ogni compromissione cyber-fisica documentata di un sistema satellitare negli ultimi quattro anni ha avuto inizio a terra. L’attacco a Viasat KA-SAT ha sfruttato CVE-2018-13379 , una vulnerabilità risalente a quattro anni fa e documentata pubblicamente in un dispositivo VPN Fortinet. Tale vulnerabilità ha consentito l’accesso alle console di gestione che hanno emesso comandi di cancellazione di massa del firmware a decine di migliaia di modem. L’operazione di ritorsione Dozor-Teleport ha messo fuori uso più di 3.000 stazioni terrestri. La violazione POLSA ha colpito l’infrastruttura terrestre istituzionale. Nessuno di questi avversari ha avuto bisogno di un’arma antisatellite, di un’intercettazione orbitale o di alcuna capacità nel dominio spaziale. Avevano bisogno solo di un dispositivo periferico non aggiornato e della pazienza necessaria per utilizzarlo.
La minaccia T1 (sfruttamento di VPN e console di gestione tramite CVE noti) è classificata con Probabilità 5 (Quasi certa) × Impatto 5 × Vulnerabilità 1,25 = 31,25, il punteggio più alto dell’inventario. Il limite massimo della Probabilità non è un artefatto di modellizzazione: riflette una linea di base quadriennale di precedenti riusciti contro vulnerabilità note e non corrette del segmento di terra, sullo sfondo di un contesto settoriale caratterizzato da oltre 100 tentativi di attacchi informatici a settimana su tutti i sistemi satellitari. Il moltiplicatore di vulnerabilità coglie un aspetto più specifico della flotta definita dal software. Kratos e Airbus riconoscono entrambi che i sistemi di comando e controllo a terra SDS sono strutturalmente più complessi rispetto ai centri operativi satellitari tradizionali, poiché devono supportare una riconfigurazione continua anziché il mantenimento nominale della posizione. Più interfacce, più endpoint autenticati, sessioni con privilegi più frequenti: la superficie di attacco è più ampia proprio dove i difensori sono più deboli.
La matrice di rischio mostra le conseguenze di questo modello. Il panorama delle minacce si concentra nella colonna ad alto impatto, con cinque minacce nella zona «Critica» e nessuna nella zona «Bassa»:
| Impatto 1 | Impatto 2 | Impatto 3 | Impatto 4 | Impatto 5 | |
|---|---|---|---|---|---|
| L5 | T1 | ||||
| L4 | T12 | T3, T6, T11, T15 | T2, T5, T8, T13 | ||
| L3 | T4, T18 | T7, T9, T16, T17 | |||
| L2 | T10, T14 | ||||
| L1 |
Di queste cinque minacce critiche, tre (T1, T2, T13) descrivono vettori relativi al segmento di terra o ad esso adiacenti. Le altre due, T8 e T5, descrivono componenti software che raggiungono il satellite tramite la stessa pipeline di upload. La matrice indica chiaramente una cosa: se il segmento di terra viene compromesso, il satellite è già stato riconfigurato.
La cronologia ricostruita dell’attacco, ciò che i team di sicurezza chiamano “kill chain”, mette ancora più in evidenza questo punto. Un attacco da terra a orbita su una piattaforma definita dal software richiede settimane o mesi di ricognizione e preparazione. La consegna e lo sfruttamento avvengono poi nel giro di poche ore. L’installazione e il comando e controllo persistono per settimane. La fase di azione sull’obiettivo si innesca in pochi minuti. La vera finestra di opportunità per i difensori si apre al perimetro del segmento di terra, giorni o settimane prima che il satellite riceva un comando anomalo, ben prima del momento stesso dell’impatto. Il punto di interruzione con il massimo effetto è la Fase 3, la consegna: architettura zero-trust, autenticazione a più fattori su tutte le console di gestione e gestione aggressiva delle patch sulle apparecchiature perimetrali. Questo non è un problema di sicurezza informatica satellitare in senso orbitale. È un problema IT aziendale con conseguenze orbitali. E gli operatori che continuano a trattarlo come il primo stanno perdendo la gara.
La catena di approvvigionamento del software e le librerie crittografiche amplificano ogni violazione del segmento di terra.
Se il segmento di terra è il vettore di ingresso, la catena di approvvigionamento del software è ciò che rende tale ingresso catastrofico. La minaccia T2 (strumentalizzazione del canale di aggiornamento del firmware) ottiene un punteggio di 30,0 (L:4 × I:5 × V:1,5), e il moltiplicatore di vulnerabilità pari a 1,5 è il valore massimo presente nell’inventario. È impostato in questo modo perché gli aggiornamenti del firmware su una piattaforma software-defined costituiscono la base architettonica: una manutenzione continua, non occasionale. L’attacco a Viasat ha utilizzato questo stesso meccanismo. I canali legittimi di distribuzione del firmware sono stati il veicolo di consegna del payload wiper, poiché i canali erano considerati affidabili e la verifica crittografica avveniva a valle di un’origine già compromessa. Su un satellite software-defined, quella stessa dinamica viene amplificata strutturalmente: un unico meccanismo veicola la capacità distintiva della piattaforma, la via d’accesso dell’attaccante e l’unica soluzione del difensore, tutti e tre i ruoli ricoperti contemporaneamente. Non esiste un modo pulito per proteggere uno di questi ruoli senza limitare gli altri.
La minaccia T8 (compromissione delle librerie crittografiche) ottiene un punteggio di 30,0 con lo stesso moltiplicatore e non è più un’ipotesi. La divulgazione di VisionSpace al Black Hat 2025 ha identificato quattro vulnerabilità nella build di CryptoLib utilizzata dalla NASA e sette nel pacchetto open source più ampio , due delle quali classificate come critiche, nella libreria crittografica utilizzata per autenticare i comandi satellitari in diverse missioni. CryptoLib è open source e almeno visibile ai ricercatori. Le implementazioni crittografiche proprietarie all’interno di Airbus OneSat, Thales Space Inspire e del resto della flotta europea a codice chiuso non sono visibili ai ricercatori e non possono essere sottoposte a verifica indipendente. La probabilità a priori che contengano vulnerabilità analoghe è elevata, e i tempi di individuazione favoriscono la parte che dispone di maggiore capacità analitica. La minaccia T5 (inserimento di codice dannoso nei componenti software dei satelliti) ottiene un punteggio di 25,0, un’analogia con SolarWinds che il settore satellitare non può ancora permettersi di liquidare. L’ESA riconosce esplicitamente che i componenti COTS estendono la superficie di attacco lungo l’intero ciclo di vita .
Questi vettori convergono su un’unica constatazione architettonica: il sottosistema crittografico rappresenta un punto di guasto comune. Tutti e tre i principali percorsi di attacco (compromissione del C2 a terra, impianto nella catena di approvvigionamento e iniezione diretta di RF da un asset in prossimità) convergono sulla stessa fase di verifica crittografica. Una singola vulnerabilità della libreria vanifica contemporaneamente molteplici difese indipendenti. Questo è ciò che la Vulnerabilità V7 (dipendenza crittografica da un unico fornitore) significa in pratica: un difetto scoperto in un’implementazione ampiamente diffusa si propaga a cascata tra operatori, missioni e regimi orbitali che non condividono alcuna altra infrastruttura.
La valutazione delle barriere secondo il modello «bow-tie» (barriere preventive da un lato, barriere mitiganti dall’altro) rende concreta questa asimmetria. Le barriere preventive, ovvero provenienza della catena di approvvigionamento (P1), architettura a terra zero-trust (P2) e crittografia end-to-end (P3), sono classificate rispettivamente come debole, moderata e debole. Le barriere mitiganti che dovrebbero contenere le conseguenze dopo una compromissione, ovvero verifica dell’integrità del firmware lato satellite (M1), limiti di riconfigurazione imposti dall’hardware (M2) e rollback autonomo (M3), sono classificate rispettivamente come moderata, molto debole e debole. La difesa in profondità è strutturalmente assente. La strategia difensiva si basa quasi interamente sul livello preventivo, lo stesso livello che il precedente Viasat e le rivelazioni su VisionSpace hanno dimostrato essere permeabile.
La riconfigurazione ostile trasforma la compromissione informatica in un effetto equivalente a quello di un’arma senza ricorrere a un ASAT.
Questa è l’inversione che distingue la minaccia software-defined da ogni precedente valutazione della sicurezza informatica satellitare. Un satellite definito dall’hardware che subisce una compromissione informatica produce informazioni di intelligence: fughe di dati telemetrici, registri di comando, forse un episodio di blocco del servizio. Un satellite software-defined che subisce una compromissione informatica produce una capacità fisica controllabile a distanza. Le minacce T9 (reindirizzamento del fascio per intercettazione o blocco del servizio), T10 (comandi di alterazione dell’orbita), T11 (manipolazione della frequenza) e T12 (dirottamento per trasmissioni di propaganda) descrivono una categoria che in precedenza non esisteva nell’analisi dei rischi informatici satellitari. Non esisteva perché la capacità sottostante non era precedentemente presente nel satellite.
I dirottamenti avvenuti nel 2025-2026 di cinque satelliti Eutelsat e di un satellite SES per trasmissioni di propaganda costituiscono la prova operativa di fattibilità. In quegli eventi è stata utilizzata la variante della tecnica con le conseguenze minori: la ritrasmissione non autorizzata, con un punteggio di Impatto pari a 3. Tuttavia, essi hanno confermato che un avversario può raggiungere l’interfaccia di riconfigurazione del carico utile e indurre il satellite a compiere un’azione non autorizzata dal suo operatore. T11 (manipolazione della frequenza) e T9 (reindirizzamento del fascio) ottengono rispettivamente un punteggio di 20,0 e 18,75. Entrambe sono classificate con una probabilità maggiore rispetto a T10 (alterazione dell’orbita), poiché richiedono solo l’accesso al canale di comando (cosa che si è dimostrata fattibile) piuttosto che competenze specialistiche in meccanica orbitale. L’aspetto qualitativo è più importante di quello numerico: la capacità che un avversario acquisisce compromettendo un satellite definito dal software non è costituita dai dati. È il satellite stesso, configurato per agire contro gli interessi del proprio operatore. La categoria del quadro di riferimento per tale capacità è “arma”, anche se per ottenerla non è stata utilizzata alcuna arma antisatellite.
La lacuna più rilevante nel livello di mitigazione è l’assenza di limiti di riconfigurazione imposti a livello hardware. Non vi sono prove pubbliche che le attuali piattaforme software-defined implementino vincoli a livello fisico che impediscano a uno stack software compromesso di eseguire una riconfigurazione dalle conseguenze massime (orientamento completo del fascio, riassegnazione arbitraria delle frequenze o comandi ai propulsori che alterano l’orbita) entro i limiti di progettazione del satellite. Su un satellite definito dall’hardware, questo vincolo era implicito nella geometria. Non esisteva alcun percorso software che consentisse a un comando compromesso di orientare il fascio verso una direzione diversa da quella per cui era stato progettato. Su un satellite software-defined, al contrario, la geometria è il software stesso e attualmente non esiste nulla nell’hardware che possa impedire tale azione.
La traiettoria è la variabile più importante. Quattro delle cinque categorie di minaccia mostrano un andamento in aumento. Solo la categoria crittografica è stabile, e tale stabilità riflette una vulnerabilità persistente e non affrontata piuttosto che un miglioramento della difesa. Due tendenze stanno convergendo. La prima è la democratizzazione delle minacce: attori non statali possono intercettare le comunicazioni satellitari con 800 dollari di attrezzatura, come ha dimostrato lo studio dell’UCSD e dell’Università del Maryland su 39 satelliti GEO . La seconda è l’escalation del valore degli obiettivi: le piattaforme definite dal software vengono integrate nelle reti 5G non terrestri, e il dimostratore SpaceRAN di Airbus colloca già le funzioni della stazione base direttamente su un carico utile software-defined. Insieme, queste due tendenze indicano che la cerchia degli avversari si sta ampliando proprio mentre il livello massimo delle conseguenze è in aumento. La logica di deterrenza che proteggeva i satelliti dagli attacchi cinetici (costi elevati, rischio di attribuzione, conseguenze legate ai detriti) non è applicabile alla riconfigurazione ostile di origine informatica. Il costo è basso, l’attribuzione è difficile e il satellite rimane fisicamente intatto e apparentemente sotto il controllo del proprio operatore anche dopo che l’effetto è stato prodotto. Una minaccia con probabilità media e impatto catastrofico, in forte ascesa, è il tipo di rischio che determina se un’architettura di sicurezza sopravviverà al prossimo anno operativo.
Implicazioni
La tesi identifica la vulnerabilità principale nell’intrusione nel segmento di terra, che sfrutta una pipeline di aggiornamenti del firmware svolgendo tre ruoli contemporaneamente: capacità, vettore di attacco e canale di risoluzione. Questo triplice ruolo definisce un chiaro ordine di mitigazione in base all’orizzonte temporale: le azioni a breve termine consentono di guadagnare il tempo necessario per attuare quelle a più lungo termine.
La prima decisione che l’operatore deve prendere riguarda l’audit della crittografia. Entro tre mesi, ogni operatore che gestisce una piattaforma software-defined dovrà verificare (non semplicemente presumere) che la crittografia end-to-end sia attiva su ogni canale di comando di riconfigurazione. La rivelazione di Kratos Space ha evidenziato che gli operatori danno abitualmente per scontata una crittografia di cui in realtà non dispongono. Se si considerano anche la dimostrazione di intercettazione condotta dall’UCSD e dall’Università del Maryland e le diciassette operazioni di avvicinamento “Luch” condotte dalla Russia contro i satelliti europei dal 2023 (monitorate tramite dati commerciali di consapevolezza del dominio spaziale, ma non verificate in modo indipendente), tale lacuna rende questa misura l’azione immediata più economica e di maggiore impatto disponibile. Essa affronta la minaccia T13 (punteggio 30,0) ed è l’unica misura di mitigazione in grado di interrompere tutte e tre le catene di attacco documentate. Parallelamente, lo SLA relativo alla gestione delle patch sulle apparecchiature perimetrali del segmento di terra deve essere ridotto a un limite massimo di 72 ore per le CVE critiche: esattamente la lacuna che gli autori dell’attacco a Viasat hanno sfruttato quattro anni dopo la divulgazione.
In un orizzonte temporale da sei a dodici mesi, seguono due azioni. La prima è l’implementazione di un modello zero-trust su tutta l’infrastruttura di comando e controllo a terra dell’SDS, con autenticazione multifattoriale (MFA) tramite token hardware e segmentazione della rete, affrontando così il gruppo di minacce T1, T3 e T4. La seconda è un audit di sicurezza indipendente di ogni implementazione crittografica nella catena di riconfigurazione SDS, comprese quelle proprietarie di cui gli operatori normalmente non consentono la revisione esterna. Tale audit dovrebbe considerare le rivelazioni su CryptoLib come un punto di partenza, non come un limite massimo. La probabilità a priori che le implementazioni closed-source contengano difetti simili è sufficientemente alta da rendere di per sé significativo un audit che non riscontri anomalie.
Le decisioni a medio termine sono quelle che modificano l’architettura piuttosto che la postura operativa. I confini di riconfigurazione radicati nell’hardware (vincoli fisici che impediscono a qualsiasi comando software, legittimo o malevolo, di eseguire una riconfigurazione al di fuori di un ambito operativo definito) rappresentano la barriera mitigativa mancante identificata dall’analisi «bow-tie». Le distinte dei materiali software obbligatorie e i requisiti di tracciabilità della catena di approvvigionamento, applicati tramite gli atti di esecuzione della NIS2 o le condizioni di appalto dell’ESA, interrompono la catena di attacco della catena di approvvigionamento nella fase più precoce possibile. Entrambe sono costose; entrambe sono necessarie; nessuna delle due sarà in vigore prima del 2027 in assenza di una pressione normativa che al momento non esiste.
Gli indicatori da monitorare sono specifici. Occorre tenere d’occhio il tasso di vulnerabilità rese note nel software di controllo satellitare e nelle librerie crittografiche: è improbabile che le rivelazioni di VisionSpace del 2025 siano le ultime. Tenete d’occhio il ritmo operativo documentato dei satelliti di prossimità russi e di eventuali dispiegamenti cinesi equivalenti. Siate pronti al prossimo incidente della classe Viasat. La domanda non è più se ne accadrà uno, ma solo su quale piattaforma e quando. Tenete d’occhio gli atti di esecuzione della NIS2 man mano che verranno pubblicati nel 2026-2027, in particolare le disposizioni che trasformano la verifica della crittografia da volontaria a soggetta a verifica. Ogni altra decisione in questo ambito presuppone che le basi crittografiche esistano effettivamente: ecco perché la verifica della crittografia deve venire prima di tutto.
Limiti
Diverse lacune specifiche nei dati limitano la valutazione. La cifra del 60% relativa ai collegamenti di comando in uplink non crittografati nella flotta GEO europea deriva da un’unica fonte anonima. Dovrebbe essere considerata corretta dal punto di vista orientativo piuttosto che con precisione, anche se i risultati delle intercettazioni condotte dall’UCSD e dall’Università del Maryland ne confermano l’orientamento generale. Le specifiche architetture di sicurezza delle piattaforme (Airbus OneSat, Thales Space Inspire) sono proprietarie e non possono essere verificate in modo indipendente. Ciò significa che i moltiplicatori di vulnerabilità per tali piattaforme riflettono stime medie relative all’intera flotta che potrebbero sovrastimare o sottostimare l’esposizione di ogni singola risorsa. Lo stesso quadro di valutazione si basa su un giudizio strutturato. La distinzione tra Probabilità 4 e Probabilità 5 per le minacce al segmento di terra riflette la frequenza dei precedenti dimostrati, e analisti ragionevoli potrebbero attribuire punteggi diversi. Gli scenari composti trasversali alle categorie (T8 che abilita T2 che abilita T9) sono descritti in termini qualitativi piuttosto che probabilistici; una modellizzazione completa a cascata richiederebbe metodi analitici che esulano dalla presente valutazione. Le minacce antisatellitari cinetiche, i rischi legati all’ambiente spaziale naturale e i rischi di mercato o finanziari per gli operatori sono esclusi in quanto al di fuori del perimetro della sicurezza informatica. La tesi si indebolirebbe se verifiche indipendenti delle implementazioni crittografiche proprietarie le trovassero sostanzialmente più robuste rispetto alla linea di base open-source. Crollerebbe solo se l’architettura degli aggiornamenti del firmware venisse riprogettata per rimuovere il conflitto di triplice ruolo, un passo che nessun operatore ha ancora annunciato.
Glossario
Quadro di riferimento dei rischi (specifico per l’articolo)
- T1…T18: identificatori di minaccia utilizzati nella matrice dei rischi, organizzati in cinque categorie:
- Compromissione del segmento di terra
- T1: sfruttamento di VPN e console di gestione tramite CVE noti (31,25, Critico, valutazione massima)
- T2: strumentalizzazione del canale di aggiornamento del firmware (30,0, Critico)
- T3: compromissione del sistema C2 a terra dovuta alla complessità operativa dell’SDS (20,0)
- T4: minaccia interna presso una stazione di terra o un centro operativo (12,0)
- Compromissione della catena di approvvigionamento del software
- T5: inserimento di codice dannoso nei componenti software dei satelliti (25,0, Critico)
- T6: compromissione di componenti COTS che estendono la superficie di attacco (20,0)
- T7: malware dormiente nell’hardware satellitare introdotto in fase di produzione (15,0)
- T8: compromissione delle librerie crittografiche, difetti di tipo CryptoLib (30,0, Critico)
- Riconfigurazione ostile / conversione in arma
- T9: reindirizzamento del fascio per intercettazione o blocco delle comunicazioni (18,75)
- T10: comandi di alterazione dell’orbita per creare rischio di collisione (10,0)
- T11: manipolazione della frequenza per interferenza o jamming (20,0)
- T12: dirottamento per trasmissioni di propaganda (15,0)
- Violazioni crittografiche e di autenticazione
- T13: collegamenti di comando in uplink non crittografati che abilitano attacchi di replay/injection (30,0, Critico)
- T14: minaccia del calcolo quantistico per l’attuale crittografia satellitare (10,0)
- T15: bypass dell’autenticazione tramite interfacce di telemetria non autenticate (20,0)
- Effetti a cascata sull’infrastruttura
- T16: compromissione di un nodo 5G NTN spaziale che interrompe le telecomunicazioni terrestri (18,75)
- T17: compromissione dell’SDS che si propaga a infrastrutture critiche dipendenti, PNT/SATCOM (15,0)
- T18: interazione IA-SDS che amplifica la superficie di attacco e il comportamento autonomo anomalo (15,0)
- Compromissione del segmento di terra
- L × I × V: formula del punteggio di rischio: Probabilità × Impatto × Vulnerabilità.
- L1–L5: scala di probabilità su un asse della matrice (5 = massimo)
- Impatto 1–5: scala di impatto sull’altro asse (5 = massimo)
Fonti primarie e ricerca
ENISA (2025). ENISA Space Threat Landscape. European Union Agency for Cybersecurity. https://www.enisa.europa.eu/publications/enisa-space-threat-landscape-2025
ESA (2024). 4S — Space Systems for Safety and Security. European Space Agency. https://connectivity.esa.int/artes-4-0-programme-overview/safety-security
ESA (2024). PQC ASTrAL — Post-Quantum Cryptography Algorithms for Satellite Telecommunication Applications. European Space Agency. https://connectivity.esa.int/archives/news/esa-partners-polish-technology-company-develop-satcom-security-solution-using-postquantum-algorithms
ESA (2021). Eutelsat Quantum. European Space Agency — Telecommunications & Integrated Applications. https://www.esa.int/Applications/Telecommunications_Integrated_Applications/Quantum
Aerospace Corporation (2023). Moonlighter — The First Hacking Sandbox in Space. The Aerospace Corporation. https://www.aerospace.org/article/moonlighter-first-hacking-sandbox-space
NIST (2019). CVE-2018-13379 — Fortinet FortiOS Path Traversal. National Vulnerability Database. https://nvd.nist.gov/vuln/detail/CVE-2018-13379
European Union (2022). Directive (EU) 2022/2555 (NIS2). EUR-Lex. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555
Space ISAC (2024). Space Information Sharing and Analysis Center. Space ISAC. https://spaceisac.org/
Viasat (2022). KA-SAT Network Cyber Attack Overview. Viasat. https://www.viasat.com/perspectives/corporate/2022/ka-sat-network-cyber-attack-overview/
Deloitte Insights (2024). Orbital Observations: Enhancing Space Resilience with Real-Time Cybersecurity. Deloitte. https://www.deloitte.com/us/en/insights/industry/government-public-sector-services/critical-need-for-cybersecurity-in-space-systems.html
Chatham House (2025). Securing the Space-Based Assets of NATO Members from Cyberattacks. The Royal Institute of International Affairs. https://www.chathamhouse.org/2025/05/securing-space-based-assets-nato-members-cyberattacks
Observer Research Foundation (2024). Enhancing Cybersecurity in Outer Space. ORF. https://www.orfonline.org/research/enhancing-cybersecurity-in-outer-space
Aerospace Corporation (2024). Space Safety Compendium — Cybersecurity Requirements for Next-Generation Platforms. The Aerospace Corporation. https://aerospace.org/paper/space-safety-compendium
Reuters (2025). Polish Space Agency Suffers Cyberattack. Reuters. https://www.reuters.com/technology/cybersecurity/polish-space-agency-suffers-cyberattack-2025-03-13/
Euromaidan Press (2025). Eight European Nations File UN Complaint Against Russia for Satellite Communication Interference. Euromaidan Press. https://euromaidanpress.com/2025/03/18/eight-european-nations-file-un-complaint-against-russia-for-satellite-communication-interference/
ETH Zurich / CSS (2024). Hacking the Cosmos: Cyber Operations Against the Space Sector — A Case Study from the War in Ukraine. Center for Security Studies. https://css.ethz.ch/en/center/CSS-news/2024/10/hacking-the-cosmos-cyber-operations-against-the-space-sector-a-case-study-from-the-war-in-ukraine.html
NASA (2024). Cybersecurity Policies. National Aeronautics and Space Administration. https://www.nasa.gov/cybersecurity-policies/
spacestrategies.org