Era il 31 agosto 2025 quando i manager dello stabilimento di Halewood, nel Merseyside, hanno cominciato a notare qualcosa di strano nei sistemi. Comportamenti anomali, connessioni interrotte, risposte lente. Nelle ore successive la diagnosi è diventata inequivocabile: Jaguar Land Rover — il più grande produttore automobilistico del Regno Unito, oltre 33.000 dipendenti diretti, 300.000 veicoli prodotti nel 2024 — era sotto attacco.
Il 1° settembre la produzione si è fermata. Completamente. Non in uno stabilimento. In tutti.
Quello che è accaduto nei mesi successivi ha ridefinito il modo in cui dobbiamo pensare alla cybersicurezza — non più come un problema tecnico da delegare ai reparti informatici, ma come una questione di sicurezza nazionale, di politica economica, di coesione sociale.
Il Cyber Monitoring Centre britannico ha classificato l’incidente come un evento sistemico di Categoria 3 — la più grave nella sua scala — stimando un impatto finanziario compreso tra 1,6 e 2,1 miliardi di sterline, con una stima centrale di 1,9 miliardi, e un effetto su oltre 5.000 organizzazioni tra fornitori, partner logistici e concessionarie.
Poco dopo l’inizio dell’attacco, un gruppo identificato come “Scattered Lapsus$ Hunters” ha rivendicato la responsabilità. Non si è trattato di hacker solitari: era un’operazione strutturata, paziente, costruita su accessi accumulati nel tempo attraverso credenziali compromesse e mai revocate. JLR ha risposto spegnendo l’intera infrastruttura IT globale — nei siti di Solihull, Halewood e Wolverhampton nel Regno Unito, e negli stabilimenti in Slovacchia, Brasile e India. Non si è potuto isolare un segmento compromesso. Si è dovuto premere il freno di emergenza su tutto.
Il 7 novembre 2025, la Banca d’Inghilterra ha pubblicato il suo Monetary Policy Report. Per la prima volta nella storia britannica, un cyberattacco compariva come variabile esplicativa nel documento più importante della banca centrale del paese. Il report ha citato esplicitamente il blocco produttivo di JLR come uno dei fattori responsabili di una crescita del PIL inferiore alle attese nel terzo trimestre del 2025 — accanto al rallentamento delle esportazioni verso gli Stati Uniti. La crescita del PIL nel trimestre si è attestata allo 0,1-0,2%, al di sotto delle previsioni, con settembre in contrazione.
JLR rappresenta il 4% di tutte le esportazioni di beni del Regno Unito. Fermare JLR significava fermare una quota rilevante del commercio estero britannico.
C’è una dimensione di questo caso che raramente viene raccontata, e che tuttavia è la più importante per capire cosa sta cambiando.
JLR è il più grande datore di lavoro automobilistico del Regno Unito, con quasi 33.000 dipendenti diretti e altri 104.000 che lavorano nell’intera catena di fornitura. Unite, il più grande sindacato britannico, ha dichiarato che i lavoratori nella supply chain erano già stati licenziati con “retribuzioni ridotte o azzerate”, definendo “inaccettabile” che i lavoratori dovessero farsi carico del peso del cyberattacco. La segretaria generale Sharon Graham: «I lavoratori nella catena di fornitura JLR non devono pagare il prezzo del cyberattacco.»
In un’indagine condotta tra le imprese della regione West Midlands, la Black Country Chamber of Commerce ha rilevato che quasi otto aziende su dieci erano state negativamente colpite dall’attacco, con il 14% che aveva già avviato procedure di licenziamento entro la fine di settembre.
Il lavoratore di una piccola azienda di componentistica nel West Midlands che si è ritrovato a casa non aveva mai sentito parlare di ransomware. Non usava Jaguar. Non aveva rapporti diretti con JLR. Eppure il suo reddito di settembre è stato determinato da un gruppo di hacker che aveva sfruttato credenziali mai cambiate.
Il CMC ha sottolineato esplicitamente come l’impatto umano sia stato significativo: l’attacco ha colpito la sicurezza occupazionale di migliaia di lavoratori, con conseguenze sul benessere fisico e mentale delle famiglie coinvolte, amplificato dalle già esistenti disuguaglianze sociali e regionali.
A marzo 2025, il gruppo HELLCAT aveva già pubblicato su un forum del dark web centinaia di documenti interni di JLR, ottenuti tramite credenziali rubate attraverso un infostealer da un contractor terzo. L’attacco di settembre è arrivato sei mesi dopo — sugli stessi sistemi, con le stesse credenziali, ancora attive.
Al momento dell’attacco, JLR era priva di copertura assicurativa cyber — un dato che ha sollevato interrogativi profondi sulla governance del rischio nell’azienda e, più in generale, nel settore manifatturiero britannico. JLR è una delle oltre 200 aziende britanniche che esternalizzano parte o tutta la gestione IT a Tata Consulting Services, con cui aveva espanso la partnership alla fine del 2023 in un accordo da oltre 800 milioni di sterline.
Non è una storia di hacker sofisticati. È una storia di igiene digitale trascurata, di avvertimenti ignorati, di credenziali mai revocate, di assicurazioni mai sottoscritte.
Il governo britannico è intervenuto con una garanzia su un prestito a favore di JLR e ha valutato di diventare “acquirente di ultima istanza” dei componenti dei fornitori — un’azione senza precedenti nel panorama dei cyberattacchi nel Regno Unito.
JLR ha successivamente confermato che l’attacco aveva comportato l’accesso non autorizzato a dati personali di dipendenti attuali ed ex: informazioni bancarie, codici fiscali e dati relativi a benefit e schemi pensionistici. Il danno, già enorme sul piano economico, ha acquisito una dimensione di rischio personale per decine di migliaia di persone.
La digitalizzazione delle catene produttive ha creato efficienza straordinaria. Ha anche creato fragilità strutturale. Il modello produttivo contemporaneo — just-in-time, globalmente integrato, digitalmente dipendente — è magnificamente efficiente in condizioni normali. È profondamente vulnerabile quando qualcosa si rompe.
Come ha osservato Phil Wright, partner di Menzies: «I modelli lean just-in-time offrono agilità, ma quando i sistemi digitali si bloccano, i risparmi di efficienza si dissolvono dall’oggi al domani. La resilienza non è più un’opzione: è diventata business-critical.»
Questo vale nel contesto britannico. Ma vale ancora di più in quello italiano ed europeo. Stellantis, Leonardo, Fincantieri, le migliaia di PMI della meccanica di precisione nella supply chain di grandi OEM globali: il modello di vulnerabilità è identico. Un’azienda italiana con cinquanta dipendenti che fornisce componenti a un grande costruttore europeo è esposta allo stesso rischio sistemico, con risorse di difesa incomparabilmente inferiori.
Serve una riqualificazione del concetto stesso di infrastruttura critica: le grandi manifatture che impiegano decine di migliaia di persone e trascinano centinaia di fornitori sono infrastrutture critiche tanto quanto le reti elettriche o gli ospedali. Devono essere trattate come tali — con standard di sicurezza cogenti, audit periodici obbligatori verificati da enti terzi, piani di continuità operativa testati, segmentazione di rete imposta per legge.
Serve una politica europea sulla supply chain digitale che imponga standard minimi di sicurezza ai fornitori di terze parti — perché il punto di accesso è quasi sempre il soggetto più debole della catena.
Serve che la copertura assicurativa cyber diventi un requisito e non un’opzione: un’azienda che rappresenta il 4% delle esportazioni nazionali e priva di polizza pone una domanda di governance che va ben oltre il singolo caso.
Infine, serve che lo Stato smetta di intervenire dopo. La prevenzione — standard obbligatori, audit cogenti, requisiti assicurativi — costa incomparabilmente meno di qualsiasi intervento post-attacco.
Bank of England MPR, nov. 2025
Unite Trade Union
Black Country Chamber of Commerce
JLR Financial Results FY2026
Computer Weekly · The Record
CNBC · Supply Chain Digital
