Dal 14 marzo 2026, un ciberattacco ha colpito i server centrali di Intoxalock (Consumer Safety Technology Llc), società con sede a Des Moines, Iowa, tra i principali fornitori statunitensi di dispositivi alcolock collegati al sistema di avviamento del veicolo. L'attacco ha causato un'interruzione prolungata dei sistemi di back-end che gestiscono calibrazioni, attivazione dei dispositivi e comunicazione con la rete di centri di assistenza convenzionati, lasciando nell'impossibilità di usare l'auto una quota rilevante dei circa 150mila conducenti che ogni anno si affidano alla tecnologia dell'azienda, attiva in 46 dei 50 Stati americani.
I dispositivi alcolock — noti negli Usa come ignition interlock device (Iid) — sono imposti da tribunali e autorità amministrative ai conducenti condannati per guida in stato di ebbrezza o per reati connessi all'alcol: per avviare il veicolo, il conducente deve soffiare nel dispositivo e risultare al di sotto di una certa soglia alcolimetrica. Gli apparecchi richiedono calibrazioni periodiche, ogni 30-120 giorni a seconda delle normative statali e delle condizioni contrattuali; queste operazioni avvengono nei centri di assistenza convenzionati e dipendono dalla connessione ai server centrali del fornitore.
L'attacco è stato identificato il 14 marzo 2026. Secondo le ricostruzioni di fonti specializzate in cibersicurezza, l'accesso non autorizzato ai sistemi ha provocato un sovraccarico dei server e un blocco operativo esteso. Già nelle prime ore la comunità di utenti Intoxalock su Reddit segnalava un disservizio totale: telefoni, centri di calibrazione, applicazione mobile e sistemi server risultavano contemporaneamente non funzionanti. Il 18 marzo l'azienda ha reso pubblica una comunicazione formale, confermando di essere stata bersaglio di hacker che — secondo la formula usata dall'azienda — "stavano sovraccaricando i nostri server", con possibili ripercussioni sulla capacità di alcuni utenti di avviare il veicolo. Il 22 marzo Intoxalock ha dichiarato il ripristino completo dei sistemi, dopo otto giorni di disservizio.
L'impatto concreto ha riguardato in particolare due categorie di utenti: i conducenti con una calibrazione programmata nel periodo 14-22 marzo, che non hanno potuto completare il servizio, e quelli entrati in lockout — ad esempio per mancata calibrazione o per violazioni segnalate dal dispositivo — i cui veicoli non potevano essere riattivati senza accesso ai server o a un centro in grado di comunicare con il back-end. Diverse testimonianze raccolte da emittenti locali e da comunità online descrivono auto rimaste bloccate presso officine e installatori, conducenti impossibilitati a recarsi al lavoro o a visite mediche, soprattutto nelle aree rurali con scarse alternative di trasporto. I giornali hanno documentato casi dal Maine alla California, dal Minnesota all'Iowa.
Sul piano tecnico, l'azienda ha descritto l'attacco come un'azione di hacker che hanno "inondato" i server, una descrizione compatibile con un attacco di tipo denial-of-service o con tattiche miste, senza confermare l'uso di ransomware né l'esistenza di richieste di riscatto. UpGuard ha classificato l'episodio come incidente di gravità media per l'impatto operativo esteso, sottolineando che non vi sono prove pubbliche di esfiltrazione di dati. Intoxalock ha ribadito in più comunicazioni che i dati degli utenti sono "al sicuro", senza però entrare nel dettaglio tecnico. Gli analisti di UpGuard e di altri osservatori hanno tuttavia sottolineato che il volume e la sensibilità dei dati trattati — informazioni personali, stato del programma giudiziario, cronologia dei test — rendono l'azienda un obiettivo appetibile, e che eventuali verifiche forensi richiederanno tempo.
Tra le misure adottate per limitare i danni, Intoxalock ha offerto un'estensione di dieci giorni per la calibrazione — con disponibilità variabile per Stato e tipologia di dispositivo — ha annunciato possibili rimborsi per i costi di traino direttamente legati all'interruzione del servizio, ha sospeso le nuove installazioni almeno fino al 22 marzo e ha promosso canali di contatto alternativi via Sms per fornire informazioni di base ai clienti con il call center sovraccarico. L'Oklahoma Board of Tests for Alcohol and Drug Influence ha pubblicato una comunicazione ufficiale invitando i partecipanti al programma a documentare i messaggi del dispositivo e le comunicazioni con il fornitore, chiarendo che la conformità sarebbe stata valutata caso per caso alla luce del disservizio.
Il caso mette in luce tre nodi strutturali che trascendono la vicenda specifica. Il primo è la centralizzazione tecnica: tutte le calibrazioni, i rapporti di conformità e molte funzioni di sblocco transitano dai server del fornitore, creando un unico punto di vulnerabilità capace di bloccare l'operatività di migliaia di utenti vincolati da decisioni giudiziarie. Il secondo è la dipendenza di funzioni pubbliche da infrastrutture private: strumenti di controllo ordinati dai tribunali dipendono da aziende che non sono sempre soggette agli stessi standard di resilienza e trasparenza richiesti alle infrastrutture critiche tradizionali. Il terzo è l'asimmetria tra utente e fornitore: un conducente che stava rispettando i termini del programma giudiziario rischia di risultare inadempiente a causa di un disservizio informatico non imputabile alla sua condotta, con conseguenze potenzialmente gravi in termini legali e contrattuali. Resta aperta la questione se i programmi statali prevedano clausole per eventi di "forza maggiore digitale" e se i contratti di servizio offrano tutele adeguate.
Questi interrogativi non riguardano soltanto il sistema statunitense. In Europa, e in Italia in particolare, la normativa prevede l'obbligo dell'alcolock nei casi più gravi di guida in stato di ebbrezza, con applicazione estesa ai veicoli industriali e professionali: autocarri, autobus, mezzi adibiti al trasporto di merci pericolose. Il Decreto Legislativo 150 del 2021, che ha riformato il Codice della Strada, e le successive disposizioni attuative hanno rafforzato e ampliato l'obbligo, rendendo il dispositivo uno strumento di controllo giudiziario e amministrativo anche per l'autotrasporto professionale. In un settore — quello della logistica e del trasporto merci — in cui la continuità operativa del mezzo è direttamente legata alla capacità di rispettare i tempi di consegna e i contratti di servizio, un'interruzione come quella subita dai clienti di Intoxalock avrebbe conseguenze economiche e operative ben più ampie di quelle registrate per gli automobilisti privati americani.
La questione della resilienza dei sistemi alcolock collegati a infrastrutture digitali centralizzate non è ancora entrata nell'agenda regolamentare europea con la stessa urgenza riservata ad altri settori critici. L'episodio Intoxalock offre un caso concreto su cui ragionare: che cosa accade a un autotrasportatore professionista — e alla sua azienda — se il sistema di calibrazione del suo alcolock va offline per un attacco informatico? Chi risponde dei mancati trasporti, delle sanzioni per inadempienza al programma di controllo, dei costi di immobilizzo del mezzo? Le autorità di vigilanza e le associazioni di categoria avranno probabilmente occasione di affrontare questi scenari prima che diventino una realtà anche al di qua dell'Atlantico.
M.L.
