Un blackout senza precedenti ha colpito alle ore 12:30 del 28 aprile 2025 la rete elettrica della Spagna, estendendosi rapidamente a Portogallo e regioni meridionali della Francia. In pochi secondi si sono persi circa 15 GW di generazione (pari al 60% della domanda nazionale), collassando l’intero sistema iberico in un “corrente zero” globale. La Figura sottostante illustra il drastico crollo della domanda elettrica (linea gialla) che ha caratterizzato l’evento. L’interruzione ha paralizzato trasporti, metropolitane e servizi di emergenza in tutta la penisola; in Spagna è stato dichiarato lo stato di emergenza nazionale con 30.000 agenti di polizia mobilitati.
Figura – Andamento della domanda elettrica in Spagna: il brusco calo (linea gialla) alle 12:30 indica la perdita istantanea di potenza che ha innescato il blackout.
Cause note e ipotesi tecniche
Le cause esatte del blackout sono ancora oggetto di indagine. Secondo Red Eléctrica de España (REE), l’evento è stato innescato da una disconnessione improvvisa con la Francia, che ha propagato l’interruzione al resto della rete spagnola. In seguito la rete è stata isolata dal sistema europeo, richiedendo una procedura di “black start” per il ripristino graduale. Il capo di REE Eduardo Prieto ha dichiarato che l’entità della perdita di potenza ha superato le soglie di tolleranza dei sistemi europei. Dalla ricostruzione tecnica emerge che l’incidente si è sviluppato in “eventi concatenati”: poco dopo un primo guasto (forse la chiusura di un impianto di generazione), la disconnessione del cavo di collegamento con la Francia ha innescato un collasso a valanga.
Alcune ipotesi suggeriscono fattori atmosferici: il gestore portoghese REN ha indicato che variazioni termiche estreme avrebbero provocato vibrazioni anomale sulle linee di alta tensione (fenomeno di “vibrazione atmosferica indotta”). Anche se quest’ipotesi non è stata confermata ufficialmente, mostra come condizioni meteo estreme possano destabilizzare reti debolmente interconnesse. Va rilevato poi che l’elevata penetrazione di fonti rinnovabili (fotovoltaico ed eolico) – meno programmabili e con inerzia ridotta – ha probabilmente amplificato gli sbilanciamenti di rete. La generazione rinnovabile abbondante nelle ore centrali del giorno può aver ridotto la capacità di risposta dinamica del sistema, complicando il ripristino rapido della stabilità.
Ad oggi le agenzie competenti escludono un attacco hacker come causa principale: il portoghese Luis Montenegro ha riferito che non ci sono “alcune indicazioni” di un cyberattacco all’origine del blackout, e il presidente Sanchez ha parlato genericamente di perdita di generazione senza precedenti. Analogamente, l’Institute national de sécurité des systèmes d’information spagnolo (INCIBE) e il Centro Nacional Criptológico hanno avviato indagini approfondite, ma il quadro tecnico prevalente indica un guasto di rete o un difetto hardware («problema tecnico oppure un cavo»). Il termine tecnico usato è “corrente zero”: si tratta infatti di un blackout totale in cui la rete deve essere riavviata da zero, un evento rarissimo in infrastrutture avanzate. L’Agenzia europea per la sicurezza informatica ENISA ha confermato via comunicato che le prime analisi puntano su un guasto tecnico non malicioso. Tuttavia, le autorità mantengono aperte tutte le ipotesi fino al termine delle analisi congiunte dei TSOs, delle autorità nazionali e di esperti europei.
Ruolo delle infrastrutture digitali e SCADA
Le reti elettriche moderne si basano intensamente su infrastrutture digitali di controllo (SCADA, EMS – Energy Management Systems – e sistemi telecontrollo). Questi sistemi raccolgono dati in tempo reale da centinaia di sottostazioni e regolano automaticamente generatori e interruttori per mantenere il bilanciamento domanda/offerta. Seppure progettati per l’affidabilità e la safety, i protocolli e i dispositivi SCADA tradizionali non furono concepiti originariamente con forti meccanismi di sicurezza informatica. Come evidenziato dal malware Industroyer (che causò blackout a Kiev nel 2016), i protocolli IEC tipici delle sottostazioni (IEC 60870-5, IEC 61850, OPC DA, ecc.) possono essere abusati per controllare circuiti elettrici una volta infiltrato il sistema. Industroyer “usa i protocolli esattamente come furono progettati”, ricorda il ricercatore ESET: tali protocolli, pensati quando le reti ICS erano isolate, non prevedono cifratura o autenticazione, perciò “gli aggressori non devono trovare vulnerabilità, basta che il malware impari a ‘parlare’ quei protocolli”.
Questo dimostra che, pur se l’attuale blackout non sembra derivare da un attacco, le infrastrutture energetiche rimangono bersagli potenziali di operazioni cybermaligne. Sistemi SCADA/OT connessi alla rete pubblica o con funzioni remote di telecontrollo costituiscono superfici di attacco critiche. La convergenza IT-OT negli ultimi anni ha aumentato l’esposizione digitale degli impianti: componenti di rete tradizionali (firewall, switch, server SCADA basati su Windows/Linux) e persino dispositivi IoT distribuiti per la smart metering possono innescare compromissioni. Gli esperti sottolineano che «un’infrastruttura tecnologica di questa complessità può essere soggetta ad attacchi maligni». Maurizio Delfanti (Politecnico di Milano) afferma che un cyberattacco “in teoria è credibile” nell’ambito di una rete elettrica paneuropea tanto estesa.
Risposta di operatori e autorità
I gestori della rete e le istituzioni nazionali hanno reagito prontamente all’emergenza. Red Eléctrica (REE) e REN hanno coordinato le operazioni di black start, sfruttando risorse idroelettriche e importazioni temporanee via Francia e Marocco. Nel frattempo l’ENEL francese (RTE) ha incrementato le forniture verso il nord della Spagna per attenuare il blackout francese. A livello istituzionale, le autorità spagnole hanno formato un Comitato di Crisi elettrica e aperto indagini tecniche, chiedendo trasparenza da REE e cooperazione internazionale. Spagna e Portogallo hanno inoltre coinvolto l’Unione Europea nella gestione della crisi: ENTSO-E ha elogiato i due TSOs per l’efficiente ripristino e ha costituito subito dopo l’evento un Expert Panel indipendente per analizzare le cause a posteriori secondo la normativa UE. Entro breve verrà pubblicato un rapporto tecnico finale con raccomandazioni.
Sul fronte cybersicurezza, il National Cyber Security Center spagnolo (INCIBE) insieme ai servizi di intelligence hanno indagato sospetti di sabotaggio informatico, senza però trovare finora prove di accessi malevoli. La stessa ENISA ha confermato di monitorare la situazione in stretta collaborazione con gli Stati membri. Le autorità politiche – dal premier spagnolo Pedro Sánchez a Bruxelles – hanno nel frattempo invitato alla cautela dai facili allarmismi, pur disponendo dei meccanismi di cybercrisis management previsti dalla legislazione europea (reti di CSIRT nazionali, Information Sharing and Analysis Centers, crisi energy a livello Ue). La mobilitazione congiunta di TSOs e agenzie di sicurezza riflette già alcune buone prassi: le informazioni operative sugli stati di rete sono state condivise in tempo reale tramite la piattaforma europea EAS (European Awareness System) gestita dagli stessi TSOs.
Rischi informatici e vulnerabilità del settore energetico
Anche se l’ipotesi di un cyberattacco non ha trovato riscontro, il blackout sottolinea la necessità di trattare gli impianti energetici come infrastrutture critiche esposte al cyber risk. Nel passato recente si sono già verificati incidenti cibernetici gravi: oltre ai già citati casi ucraini, il virus BlackEnergy (2015) e campagne di ransomware hanno dimostrato la vulnerabilità delle reti elettriche avanzate. Gli scenari possibili includono l’intrusione in SCADA tramite phishing o exploit, la diffusione di malware in reti di impianto, attacchi alle supply chain software/hardware, o interferenze nei sistemi ICT dei fornitori di servizi cloud e telecomunicazioni su cui si appoggiano i gestori. Un’altra area critica sono i sistemi di protezione automatica (relè e interruttori intelligenti): se compromessi, essi possono innescare spegnimenti programmati di linee o centrali.
Inoltre, la dipendenza crescente da reti di telecomunicazione pubbliche introduce un ulteriore vettore di rischio: interruzioni o attacchi DDOS alle infrastrutture di telecomunicazione possono degradare i canali di comunicazione tra centri di controllo e sottostazioni. Durante il blackout molti apparati di telecomunicazione sono effettivamente caduti, complicando le operazioni di ripristino. In questo contesto, la resilienza ICT diventa cruciale: va garantita la disponibilità di reti alternative (ad es. sistemi radio dedicati, linee di backup isolate, satellitari) per le comunicazioni di emergenza.
Standard e protocolli di sicurezza esistenti
Il quadro normativo europeo riconosce esplicitamente il settore energetico tra quelli critici ai quali applicare severi requisiti di cyber-sicurezza. La direttiva NIS2 (UE 2022/2555) estende l’ambito di applicazione alle reti energetiche e impone alle grandi aziende del settore elettrico misure di gestione del rischio, protezione delle supply chain e obblighi di notifica degli incidenti significativi. Inoltre, il Regolamento (UE) 2019/941 e i network codes dell’UE stabiliscono requisiti di sicurezza fisica e cyber per le infrastrutture energetiche, coordinando TSOs e Regolatori nazionali. Nei piani di protezione delle reti elettriche sono già previsti protocolli di emergenza (come quello per il black start) e esercitazioni periodiche di ripristino.
A livello internazionale, i gestori energetici adottano standard di sicurezza ICT consolidati. Secondo ENISA, gli standard di riferimento principali nel settore energia sono l’ISO/IEC 27001 (sistemi di gestione della sicurezza informatica) e la serie ANSI/ISA-99 (oggi IEC 62443) dedicata alla sicurezza dei sistemi di controllo industriale. Questi standard prescrivono politiche di accesso controllato, segmentazione delle reti OT/IT, monitoraggio continuo, cifratura e aggiornamenti regolari dei dispositivi di rete. In ambito elettrico si possono inoltre implementare soluzioni come il protocollo IEC 62351 che definisce funzioni di sicurezza per le comunicazioni di rete di potenza. Altri riferimenti utili includono le linee guida ENISA per le smart grid e i CSIRT industriali, che raccomandano fin dalla progettazione di considerare la sicurezza ICS come requisito primario (defence-in-depth, life-cycle management, auditing). In Europa sono infine istituiti centri di condivisione informazioni (es. ISACs di settore) e team CERT dedicati al comparto energetico, secondo la best practice ENISA di cooperazione pubblico-privato.
Misure migliorative e raccomandazioni
Per potenziare la resilienza delle infrastrutture critiche dell’energia si propongono le seguenti misure, in linea con le normative e le best practice UE:
- Interconnessioni rafforzate – Aumentare la capacità di scambio tra la penisola iberica e il resto d’Europa, avvicinando l’attuale ~6% di interconnessione elettrica al target UE del 15%. Una maggiore integrazione europea ridurrebbe l’effetto “isola” energetica e attenuerebbe i blackout locali come evidenziato dagli esperti.
- Standard e norme di settore – Applicare rigorosamente gli standard IEC/ISO rilevanti: IEC 62351 e IEC 62443 per la sicurezza dei sistemi di controllo e sottostazioni, ISO/IEC 27001 per i processi di gestione del rischio ICT. In ambito ENISA, seguire le linee guida di “security by design” per SCADA/ICS, prevedendo aggiornamenti firmware regolari e auditing continuo delle reti OT.
- Segmentazione e isolamenti – Isolare le reti operative di controllo (OT) da quelle informatiche generali (IT), implementando zone DMZ sicure e firewall a grana fine. Limitare l’accesso remoto ai soli IP e protocolli strettamente necessari, utilizzando VPN cifrate e autenticazione multifattore su tutte le interfacce critiche. Queste pratiche riducono notevolmente la capacità di un attaccante di propagarsi lateralmente tra reti.
- Monitoraggio e risposta – Introdurre sistemi di rilevamento delle intrusioni specifici per ICS (Industrial IDS/IPS) e analisi comportamentale delle reti di controllo. Promuovere esercitazioni periodiche di incident response che simulino attacchi cyber o guasti di rete, coinvolgendo TSOs, Regolatori e forze dell’ordine. In questo senso, va potenziata la cooperazione tra CSIRT nazionali e il meccanismo UE di gestione delle crisi energetiche (Electricity Coordination Group).
- Resilienza operativa – Rafforzare i piani di emergenza fisici (ad es. generatori di riserva, stazioni di black start separate, linee elettriche ridondanti). Verificare i sistemi di accumulo e i riservismi di carico essenziali (ospedali, trasporti) per garantire autonomia minima anche in caso di blackout esteso. Tale approccio multi-livello (prevenzione, rilevamento, reazione, recovery) segue lo schema NIST/ISO e il quadro NIS2 di “identificare, proteggere, rilevare, rispondere, recuperare” di cui raccomanda l’UE.
In sintesi, l’incidente iberico evidenzia l’importanza di trattare la rete elettrica come sistema cyber-fisico critico. Pur non essendo stato ancora confermato alcun attacco informatico, le implicazioni per la sicurezza digitale restano elevate. È quindi essenziale consolidare le misure di cybersicurezza secondo le best practice europee, integrando la supervisione tecnica (SCADA) con robusti controlli cyber, al fine di aumentare la resilienza complessiva delle infrastrutture energetiche europee.
Fonti: Relazioni di REE e REN, dichiarazioni ufficiali spagnole e portoghesi, comunicati stampa di ENISA ed ENTSO-E; studi ENISA e standard internazionali (IEC/ISO) sulle reti SCADA/ICS; normative UE NIS2 e linee guida sulla protezione delle infrastrutture critiche.
