Un ricercatore di sicurezza hardware e dell'Internet of Things (IoT) dell'Università di Tsinghua, in Cina, ha dimostrato pubblicamente alla conferenza Black Hat Asia come sia possibile disabilitare l'intera rete di colonnine di ricarica di una città, compromettere dati personali degli utenti e utilizzare servizi a costo zero, sfruttando vulnerabilità strutturali nei dispositivi IoT a noleggio — dalle e-bike ai caricatori per veicoli elettrici — diffusi in Europa e Asia.
Il fenomeno investe un segmento in forte espansione: la mobilità condivisa e le infrastrutture di ricarica pubblica rappresentano oggi miliardi di dollari di investimenti a livello globale. La debolezza sistemica nei protocolli di sicurezza di questi dispositivi non è una questione tecnica marginale, ma un rischio operativo e reputazionale concreto per operatori, investitori e amministrazioni pubbliche che su queste infrastrutture hanno costruito piani strategici di lungo periodo.
Hetian Shi, il ricercatore autore dello studio, ha identificato la radice del problema in una scelta progettuale precisa: gli sviluppatori privilegiano la facilità d'uso rispetto alla sicurezza, generando vulnerabilità sistemiche. A differenza dei dispositivi IoT domestici, quelli a noleggio pubblico sono fisicamente accessibili a chiunque, il che abbassa drasticamente la soglia d'ingresso per un attacco. Alcuni dispositivi esaminati includevano porte di debug o connettori UART — interfacce tecniche normalmente riservate agli sviluppatori — che consentono a un attaccante con competenze medie di analizzare il funzionamento interno del dispositivo senza particolari ostacoli.
L'analisi del firmware ha rivelato chiavi di autenticazione condivise tra dispositivi e backend che non verificano correttamente l'identità degli utenti. Shi ha sviluppato uno strumento denominato IDScope, capace di sfruttare queste falle in modo automatizzato. Durante la dimostrazione live alla conferenza, ha selezionato una colonnina di ricarica nella zona di People's Square a Shanghai — scelta dal pubblico in sala — e ne ha simulato la disattivazione in pochi secondi, modificando il suo stato nell'app da disponibile a fuori servizio.
Le implicazioni operative sono tutt'altro che teoriche. Un attacco coordinato potrebbe neutralizzare l'intera rete di ricarica di una metropoli, con effetti a cascata su mobilità, logistica e servizi di emergenza. Shi ha stimato che le stesse tecniche siano applicabili su scala urbana, creando scenari di denial of service distribuito contro infrastrutture critiche di trasporto.
Il perimetro geografico del problema si estende ben oltre la Cina. Il ricercatore ha analizzato le applicazioni di 11 operatori europei di biciclette e monopattini condivisi, riscontrando vulnerabilità analoghe. Questo dato suggerisce che le criticità non siano legate a contesti normativi specifici, ma a pratiche di sviluppo diffuse a livello industriale — pratiche che sembrano resistere anche in mercati soggetti a regolamentazioni stringenti come il GDPR europeo o l'AI Act.
Le falle consentono inoltre la creazione di clienti fantasma — profili artificiali indistinguibili da utenti reali — che permettono di accedere ai servizi gratuitamente, erodendo i ricavi degli operatori. Un vettore di frode che, se sfruttato sistematicamente, potrebbe alterare i modelli economici su cui si basano i business plan di molte società del settore della mobilità condivisa.
Rimane aperta una questione centrale per regolatori e investitori: in un settore dove la crescita dipende dall'adozione di massa e la convenienza è leva competitiva primaria, chi ha l'incentivo — e soprattutto la responsabilità — di imporre standard di sicurezza minimi? La risposta potrebbe arrivare solo dopo il primo incidente su larga scala.