Un bug legato al computer di volo ha costretto Airbus a richiamare 6.000 A320 nel mondo per un reset del software. Ecco come funziona l’aggiornamento, quali compagnie sono coinvolte e cosa cambia per passeggeri e sicurezza.
Dopo un improvviso pitch-down su un volo JetBlue, EASA e FAA hanno imposto un intervento urgente sul software dell’Elevator Aileron Computer della famiglia A320. Il fix, basato su un rollback a una versione precedente e su reset mirati dei sistemi, ha causato ritardi globali, ma ha evitato la messa a terra prolungata della flotta.
Dall’incidente JetBlue al richiamo globale
Tutto parte da un evento che, fino a poche settimane fa, era noto solo agli addetti ai lavori. Un Airbus A320 di una compagnia statunitense, JetBlue, subisce un improvviso e non comandato abbassamento del muso, un pitch-down inatteso che provoca una breve perdita di quota e alcuni feriti a bordo. L’autopilota resta inserito, l’equipaggio recupera subito il controllo e l’atterraggio avviene senza ulteriori problemi, ma l’episodio accende tutte le spie rosse nelle sale tecniche di Airbus e delle autorità.
L’indagine preliminare individua un sospetto preciso: una vulnerabilità introdotta da un aggiornamento software in uno dei cervelli dell’aereo, l’Elevator Aileron Computer (ELAC), che governa superfici di controllo fondamentali per l’assetto. Secondo l’analisi del costruttore, in condizioni particolari di intensa radiazione solare alcuni dati critici possono essere corrotti, innescando una risposta anomala del sistema di volo.
Da qui la decisione drastica: il 28 novembre EASA pubblica una Emergency Airworthiness Directive che impone interventi immediati su circa 6.000 aeromobili della famiglia A320, più di metà della flotta mondiale. Poche ore dopo, FAA e altre autorità seguono la stessa linea.
È il richiamo più ampio nella storia di Airbus e arriva proprio nel pieno del weekend del Thanksgiving americano, uno dei momenti di massimo traffico dell’anno.
Che cosa significa “resettare il software” sugli A320
L’espressione che rimbalza sui media, “resettare il software degli Airbus 320”, è al tempo stesso corretta e fuorviante. Non si tratta di un semplice “spegnere e riaccendere”, ma di un intervento strutturato sui computer di volo.
Per circa l’85% dei velivoli interessati la soluzione consiste in un rollback del software ELAC: si torna a una versione precedente, considerata più robusta, che gestisce con maggior margine i dati esposti al rischio di corruzione. L’operazione, eseguita a terra, richiede in media un paio d’ore per aereo e include test di funzionalità e reset controllati dei sistemi prima di rimettere il velivolo in linea.
Per una quota minoritaria della flotta, soprattutto A320 più vecchi, il problema è più complesso: il software più sicuro non è pienamente compatibile con l’hardware installato e servono sostituzioni fisiche di moduli o computer di bordo, con tempi che si misurano in giorni o settimane, aggravati dalla cronica scarsità di componenti elettronici.
In parallelo, circolano online riferimenti all’idea di dover “resettare periodicamente” gli A320 ogni 149 ore, ma qui si tratta di una sovrapposizione con un vecchio caso legato all’A350, quando nel 2019 un’Airworthiness Directive impose un riavvio periodico per evitare la perdita di alcune funzioni avioniche. Quella storia appartiene a un altro modello e a un altro bug; per gli A320 il focus è sul rollback e sulla correzione definitiva, non su riavvii ciclici programmati.
Quali compagnie sono coinvolte e a che punto sono gli aggiornamenti
L’ordine di Airbus riguarda praticamente tutti i principali operatori mondiali della famiglia A320: dalle big statunitensi come American, Delta e United, alle europee come Lufthansa, Air France, easyJet, Wizz Air, fino ai colossi low-cost asiatici IndiGo, AirAsia, Jetstar e alle compagnie mediorientali e latinoamericane.
Secondo gli ultimi aggiornamenti, la maggior parte della flotta è già stata modificata. Airbus parla di “vast majority” di jet aggiornati o riportati alla versione sicura, con meno di cento aeromobili ancora in attesa di intervento nel momento in cui scriviamo.
Ci sono casi virtuosi: in India, ad esempio, il reset software sull’intera flotta A320 di IndiGo e Air India è stato completato in poco più di un giorno, riducendo al minimo le cancellazioni. Anche easyJet ha comunicato di aver chiuso le operazioni di aggiornamento senza impatti significativi sull’operativo.
Altre realtà hanno sofferto di più: ANA in Giappone ha cancellato decine di voli, Jetstar ne ha tagliati circa novanta in un solo weekend, Avianca ha addirittura sospeso temporaneamente le vendite di biglietti per gestire l’emergenza.
L’impatto sui passeggeri: molto rumore, sicurezza intatta
Dal punto di vista dei passeggeri, l’effetto più visibile è stato un déjà-vu post-pandemico: notifiche di ritardo, cambi di aereo all’ultimo momento, tratte cancellate e code ai banchi di assistenza. Il tutto in un periodo già congestionato, con milioni di persone in viaggio tra Stati Uniti, Europa e Asia.
La differenza rispetto a crisi passate, come il caso Boeing 737 MAX, è però sostanziale. In questo frangente non si è verificato alcun incidente catastrofico e la risposta di costruttore e autorità è stata immediata: identificato il rischio, si è imposto un richiamo precauzionale globale, bloccando temporaneamente moltissimi aerei, ma mantenendo un livello di trasparenza che gli osservatori hanno in buona parte giudicato adeguato.
Per i viaggiatori, il messaggio è semplice quanto impopolare: i disagi sono stati il prezzo da pagare per mantenere un margine di sicurezza prudenziale in presenza di un bug non ancora completamente caratterizzato. In prospettiva, meglio qualche ora in più al gate che un sistema di controllo di volo esposto a condizioni estreme come una tempesta solare.
Quanto è grave il rischio tecnico?
Sul piano tecnico, il problema riguarda la possibilità che una combinazione di radiazione solare intensa e specifiche condizioni operative corrompa i dati utilizzati dal computer di volo per calcolare l’assetto dell’aereo. L’evento JetBlue mostra che il risultato può essere un comando non richiesto di abbassare il muso, con una perdita di quota improvvisa ma limitata.
Si tratta di un malfunzionamento serio, perché tocca uno dei pilastri della sicurezza: la prevedibilità del comportamento dei sistemi automatici. Allo stesso tempo, le autorità sottolineano che il rischio è fortemente mitigato dall’addestramento degli equipaggi, dalla ridondanza dei sistemi e dal fatto che l’evento noto non ha mai portato l’aeromobile in una situazione irreversibile.
La scelta di tornare a una versione precedente del software, spesso vista come un passo indietro, è in realtà una mossa tipica dell’ingegneria di sicurezza: in attesa di un’analisi completa delle cause profonde, si privilegia una configurazione già validata da milioni di ore di volo, riducendo l’esposizione al rischio. È un reset conservativo, non un azzardo.
Software, certificazione e reputazione: la lezione per il settore
Oltre al merito tecnico, questa crisi offre uno spaccato della nuova vulnerabilità strutturale dell’aviazione: il software. Gli aeromobili moderni sono sistemi digitali volanti, nei quali ogni aggiornamento, magari pensato per ottimizzare prestazioni o manutenzione, può introdurre effetti collaterali inaspettati.
L’industria ha già sperimentato quanto possa essere devastante un fallimento nella gestione di queste complessità: il caso 737 MAX ha segnato un prima e un dopo nella percezione pubblica. Airbus, oggi, sembra voler dimostrare di aver imparato anche dagli errori altrui, reagendo in modo rapido e relativamente trasparente, pur al costo di una temporanea emorragia di puntualità e di qualche punto in Borsa.
Il richiamo A320 si inserisce in una storia più lunga, che include l’episodio, quasi grottesco, a posteriori, dell’A350 che doveva essere “spento e riacceso” ogni 149 ore per evitare la perdita graduale di alcune funzioni avioniche. Allora il tema fece sorridere molti non addetti ai lavori; oggi, con flotte globali dipendenti da milioni di righe di codice, è chiaro che la manutenzione del software è un elemento centrale della sicurezza, non un dettaglio IT.
Un reset di sistema, non solo di software
La vicenda degli A320 “da resettare” racconta qualcosa che va oltre il singolo bug. Mostra un’industria alle prese con il passaggio da una sicurezza basata quasi esclusivamente sulla meccanica a una sicurezza ibrida, meccatronica e digitale, in cui il codice è parte integrante dell’aerostruttura.
Nel breve periodo, i passeggeri vedranno soprattutto l’effetto più visibile: voli che tornano gradualmente alla normalità man mano che gli aggiornamenti vengono completati, comunicati rassicuranti da parte di compagnie e autorità, qualche inevitabile polemica su chi avrebbe dovuto accorgersi del problema prima. Nel medio periodo, però, la domanda diventa un’altra: il sistema di certificazione è davvero attrezzato per gestire la complessità crescente del software di bordo?
Se l’episodio sarà ricordato solo come un weekend di caos aeroportuale, avremo perso un’occasione. Se, invece, servirà a rafforzare la cultura della trasparenza, a migliorare i processi di test e a trattare gli aggiornamenti software con la stessa solennità con cui si trattano le modifiche strutturali, allora questo grande reset degli A320 sarà stato qualcosa di più di un incidente di percorso: sarà stato un piccolo, ma significativo, reset di tutto il sistema.