Cybersecurity, il caso Jaguar Land Rover: quando l’hub si spegne crolla tutta la filiera

La storia che ci raccontiamo è una mezza verità: il punto debole è sempre il fornitore. Poi arriva un incidente come quello di Jaguar Land Rover e scopriamo l’altra metà: quando cade il centro, a collassare per primi sono i raggi. A inizio settembre, un attacco cyber ha spinto JLR a spegnere volontariamente reti e sistemi, fermando linee in UK e in giro per il mondo; non solo produzione, ma anche vendite e post-vendita hanno dovuto arrangiarsi con ripieghi manuali. La diagnosi si è allungata oltre le prime 48 ore, con ammissione di una possibile esposizione di dati e un conto quotidiano non banale (milioni di euro); nel frattempo lo stop iniziava a colpire chi stava a valle. 

Il punto, qui, non è la cinematografia dell’attacco, ma la direzione del danno: l’onda parte dal centro e si allarga. Mentre noi ripetiamo che “il fornitore è l’anello debole”, ecco la smentita pratica: il capo-filiera, diventato cervello digitale di ordini, distinte base, logistica e qualità, se si spegne azzera il metabolismo della filiera. Non parliamo di qualche ritardo sulle bisarche: per alcuni stabilimenti lo stop si è protratto, i concessionari hanno smesso di vendere e nella piramide dei fornitori (spesso PMI dipendenti in modo critico da un singolo cliente) si sono già visti tagli di personale, con l’ombra di licenziamenti più numerosi se la pausa si prolungasse. Non serve il genio del male: basta l’interdipendenza.

È l’ecosistema, non la morale. Abbiamo trasformato la supply chain in un supply cloud: portali fornitori, forecast in tempo reale, pianificazione automatizzata, sistemi trasparenti l’uno rispetto all’altro. L’efficienza cresce, ma cresce anche la forza di gravità informativa: più massa concentrata nell’hub, più forte l’attrazione sul resto. La resilienza dell’insieme non una somma delle forze: è una moltiplicazione e se ci mettiamo uno zero il risultato sarà… Zero. E se l’hub concentra i comandi, la continuità non dipende dalla sua forza in tempo di sole, ma dalla sua capacità di cadere bene: isolare senza paralizzare, degradare i servizi invece di spegnerli tutti, continuare a parlare con i partner su canali di emergenza quando l’infrastruttura principale è a terra.

Il caso JLR mostra anche un secondo livello: quando il centro si ferma, il rischio diventa macroeconomico. Non si congelano solo i flussi digitali, si congelano stipendi, turni, ordini futuri. È per questo che, mentre si conta il danno (stime giornaliere e montanti complessivi), emergono richieste di sostegni pubblici per evitare che la pausa dell’hub rompa gli anelli più fragili; sindacati e rappresentanti istituzionali parlano esplicitamente di licenziamenti e di protezione degli addetti più esposti. Si può discutere di principio, ma la sostanza resta: la cyber-crisi del produttore si traduce in crisi di cassa a valle, e la cassa non vive di slide.

C’è poi l’ironia: per anni abbiamo chiesto (giustamente) ai fornitori policy, MFA, patch, piani di continuità. Ma se cade chi assegna gli ordini e pubblica i forecast, cade anche il metro con cui giudichiamo “la maturità” degli altri. Fatto che non assolve nessuno, anzi, sposta il focus su ciò che spesso manca: ridondanza di relazione. Non “un’altra password”, ma un’altra strada: canali di emergenza per ordini minimi vitali, modalità cartacea per le distinte, finestre operative che non spengano l’ossigeno ai ricambi, rubriche di contatti di emergenza fuori dal portale. Se l’integrazione è un matrimonio, bisogna prevedere anche la separazione dei beni: quando uno dei due se ne va, l’altro deve pur poter mangiare.

La lezione non è “tornare all’analogico”: è accettare che l’integrazione va progettata per fallire con grazia. Serve anche una grammatica economica della resilienza: chi ha potere di concentrazione (l’hub) ha anche doveri di distribuzione del rischio. Non basta pretendere certificazioni a valle; occorre investire su chi ti tiene in vita quando l’automazione si spegne. Altrimenti la differenza tra “catena del valore” e “catena” resta solo la preposizione.

In controluce, la notizia su JLR è meno “caso isolato” e più cartolina dal futuro prossimo: supply cloud dappertutto, con la promessa di zero attriti e l’obbligo, non più rinviabile, di progettare attriti “utili” per quando piove forte. Perché nell’economia delle reti dense la catastrofe non è sbagliare, ma commettere un errore che va “liscio come l’olio”. Usciamo dall’equivoco che l’anello debole sia “l’altro”: lo siamo tutti e nello stesso momento.