Ogni auto che circola oggi sulle strade europee porta con sé un piccolo segreto che quasi nessuno conosce. I sensori TPMS, quei dispositivi montati sugli pneumatici per monitorare la pressione delle gomme, trasmettono in continuazione segnali radio con identificatori unici, in chiaro, senza alcuna protezione. E un gruppo di ricercatori spagnoli ha appena dimostrato quanto sia facile sfruttare questa falla per tracciare i movimenti di migliaia di veicoli, in silenzio e a costi ridicoli.
Lo studio arriva dall’IMDEA Networks Institute di Madrid, in collaborazione con altri centri di ricerca europei. Il punto è semplice ma inquietante: il sistema TPMS (acronimo di Tire Pressure Monitoring System) è obbligatorio per legge praticamente ovunque, dall’Europa agli Stati Uniti, eppure nessuno si è mai preoccupato davvero della sicurezza informatica di questi sensori. Ogni pneumatico emette a intervalli regolari un segnale radio contenente un codice identificativo fisso e unico, senza cifratura né autenticazione. Significa che chiunque, con l’attrezzatura giusta, può riconoscere lo stesso veicolo in momenti e luoghi diversi. Senza bisogno di leggere targhe, senza telecamere, senza visuale diretta. I segnali attraversano muri e altri veicoli, rendendo i ricevitori completamente invisibili.
Sei milioni di segnali raccolti in dieci settimane
Per dimostrare che non si tratta di un rischio teorico, i ricercatori hanno costruito una rete di ricevitori radio piazzati vicino a strade e parcheggi. Il costo di ogni singolo dispositivo? Circa 100 euro. Una cifra alla portata di chiunque, dal singolo malintenzionato fino a organizzazioni ben più strutturate. In dieci settimane di monitoraggio, il team ha intercettato oltre sei milioni di messaggi provenienti dai sensori di più di 20.000 veicoli. Numeri che dimostrano come un sistema di sorveglianza passiva su larga scala sia non solo possibile, ma anche economicamente sostenibile. Incrociando i dati dei quattro sensori presenti su ogni auto con informazioni accessorie, come indirizzi fisici o immagini da telecamere di sicurezza, diventa teoricamente possibile ricostruire le abitudini quotidiane e gli spostamenti di una persona specifica.
C’è poi un altro aspetto che vale la pena sottolineare. Studi paralleli hanno mostrato che i segnali TPMS possono essere non solo intercettati, ma anche falsificati: qualcuno potrebbe inviare al cruscotto falsi allarmi di pressione, spingendo il guidatore a frenate improvvise o soste in luoghi pericolosi. «Il TPMS è stato progettato per la sicurezza stradale, non per la sicurezza informatica», ha spiegato il dottor Yago Lizarribar, ricercatore coinvolto nello studio durante il dottorato all’IMDEA Networks e oggi in forze ad Armasuisse, in Svizzera.
Un vuoto normativo che riguarda milioni di automobilisti
Ed è proprio qui che si apre il problema più grande. Le attuali normative sulla cybersecurity dei veicoli non contemplano in modo specifico la protezione dei sistemi TPMS. Un paradosso notevole, se si pensa che questi sensori sono obbligatori per legge in Europa dalla fine degli anni 2000. I ricercatori parlano di un vero e proprio punto cieco normativo, una lacuna che espone milioni di guidatori a rischi di tracciamento senza che ne siano minimamente consapevoli.
Lo studio, accettato per la presentazione alla conferenza IEEE WONS 2026, chiede con urgenza ai produttori automobilistici e ai legislatori di introdurre meccanismi di cifratura e autenticazione nei sensori TPMS. L’obiettivo è evitare che dispositivi pensati per proteggere chi guida finiscano per trasformarsi, senza volerlo, in un’infrastruttura di sorveglianza diffusa e praticamente invisibile.
