Sicurezza OT: allarme APT e ritardo italiano nell'industria
Il ritardo italiano nella sicurezza OT è palese: le APT manipolano i processi in silenzio e l'AI riduce il tempo di exploit a poche ore. Ecco perché conta.
Contenuto
Il 63% delle vulnerabilità nei sistemi industriali italiani è classificato ad alto rischio, una percentuale che supera la media globale del 58%. Mentre il dibattito pubblico si concentra spesso su attacchi ransomware rumorosi e distruttivi, come l'episodio che ha colpito Poltronesofà S.p.A. il 27 ottobre 2025 con esfiltrazione e cifratura dei dati, le minacce più insidiose agiscono in modo del tutto silenzioso. Le Advanced Persistent Threat sponsorizzate da Stati manipolano i processi produttivi senza bloccare i sistemi, e l'accelerazione dell'intelligenza artificiale ha ridotto il tempo di exploit da circa 40 giorni nel 2018 a poche ore.
Vulnerabilità OT in Italia: un problema strutturale
I dati emersi nei primi mesi del 2026 tracciano un quadro preoccupante per la sicurezza operativa tecnologica nazionale. Il 63% delle vulnerabilità nei sistemi industriali italiani è classificato ad alto rischio, superando la media globale del 58%. Secondo Davide Boglioli, technical lead del team di vulnerability assessment di Nozomi Networks, "Probabilmente i sistemi vengono aggiornati meno frequentemente o i processi di patching non sono tempestivi".
La tendenza delle aziende italiane a trascurare la sicurezza operativa è confermata dalle parole di Boglioli: "Le aziende italiane sono spesso più piccole e meno inclini a investire in sicurezza, soprattutto se non è direttamente collegata alla produzione". Ancora una volta, il vettore principale non è un exploit sofisticato ma la gestione carente delle credenziali e dei processi di aggiornamento. Il problema non è tecnico: è di gestione.
Le dinamiche degli attacchi informatici più recenti evidenziano un'urgenza di cambio di paradigma: la superficie di attacco si è estesa ben oltre il perimetro IT tradizionale. Le minacce si insinuano oggi nelle supply chain, nei dispositivi OT, nei canali di comunicazione tra partner e nei dati in transito tra sistemi cloud. Per il 70,1% delle aziende e enti rispondenti, il Sistema Informativo è essenziale per supportare le attività e i processi, rendendo la sua sicurezza digitale prioritaria. Di questi, il 10,6% fornisce servizi essenziali per l'Italia, soggetti alla direttiva NIS e alle nuove normative europee come NIS2 e DORA.
Data manipulation e APT: la minaccia invisibile
Le due direttrici principali di attacco OT e IoT sono il brute force per le credenziali e la data manipulation per alterare i parametri operativi senza bloccare il sistema. Alessandro Di Pinto, senior director Security Research di Nozomi Networks, sottolinea che "Oggi un grande pericolo per la sicurezza OT e IoT arriva da attacchi più silenziosi, che esistono ma di cui non si ha evidenza finché non creano un danno. E reagire in quel momento è troppo tardi".
Gli attacchi seguono uno schema preciso: accesso iniziale, movimento laterale e manipolazione, mantenendo un profilo basso per evitare di essere rilevati. La storia di queste tattiche ha radici profonde: tra il 2007 e il 2010, il malware Stuxnet ha colpito gli impianti nucleari iraniani alterandone il funzionamento e inviando segnali falsi ai sistemi di controllo.
"All’interno di una catena produttiva anche una minima variazione nei parametri porta a un difetto sistemico. E questo può compromettere un’intera fornitura", ha spiegato Di Pinto. I gruppi sponsorizzati da Stati si pre-posizionano nelle infrastrutture critiche con grande anticipo per attivare le minacce in momenti di crisi geopolitica. "Uno Stato non colpisce mai un’infrastruttura critica all’improvviso. Si preposiziona con grande anticipo, quando tutto sembra tranquillo", ha aggiunto Di Pinto.
L'accelerazione dell'Intelligenza Artificiale e il rischio IoT
L'intelligenza artificiale viene utilizzata per migliorare le campagne di phishing, creare identità digitali credibili e guidare il comportamento dei malware. Questo ha ridotto drasticamente il tempo necessario tra la scoperta di una vulnerabilità e il suo sfruttamento: se nel 2018 occorrevano circa 40 giorni, oggi bastano poche ore. "Non stiamo parlando di stime, ma di dati osservati", precisa Di Pinto.
In questo contesto, i dispositivi IoT come fotocamere e sale conferenze smart possono diventare catalizzatori di rischio, creando nuovi punti di accesso alle aree di lavoro IT e ai sistemi OT. La convergenza IT/OT amplifica in modo esponenziale la superficie di attacco con ogni nuova connessione esterna. Se i dati operativi rivelano pattern di produzione, ritmi di utilizzo o parametri di processo, possono essere usati per pianificare attacchi fisici o sabotaggio industriale.
Direttiva NIS2 e strategie di mitigazione
La direttiva NIS2 rappresenta un passo avanti per la trasparenza, obbligando alla segnalazione degli incidenti, ma non fornisce indicazioni operative su come affrontare le minacce. Per proteggersi efficacemente, le aziende devono ripensare in modo integrato l'intera postura di sicurezza aziendale, avvalendosi di un Managed Security Service Provider (MSSP) specializzato in IoT e OT Security.
Un MSSP offre servizi specifici come il monitoraggio continuo 24/7 per rilevare e rispondere tempestivamente alle minacce, la gestione delle vulnerabilità per l'identificazione e la mitigazione proattiva, e l'implementazione di misure di sicurezza avanzate come la segmentazione della rete, l'autenticazione multifattore e soluzioni di rilevamento delle intrusioni specifiche per l'OT.
Domande frequenti
- Cosa sono le APT nel contesto della sicurezza OT?
- Le APT (Advanced Persistent Threat) sono minacce avanzate persistenti, spesso sponsorizzate da Stati, che si infiltrano nei sistemi industriali per spionaggio o manipolazione. A differenza dei ransomware, agiscono in modo silenzioso per non essere rilevate.
- Perché il tempo di exploit si è ridotto a poche ore?
- L'accelerazione è dovuta all'utilizzo dell'intelligenza artificiale, che permette di perfezionare le campagne di phishing e di guidare il comportamento dei malware, riducendo drasticamente il tempo di reazione rispetto ai circa 40 giorni necessari nel 2018.
- In che modo la direttiva NIS2 affronta la sicurezza OT?
- La direttiva NIS2 impone la segnalazione obbligatoria degli incidenti per aumentare la trasparenza, ma non fornisce indicazioni operative specifiche su come mitigare le minacce ai sistemi industriali, lasciando alle aziende l'onere di definire le strategie difensive.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.aessesoluzioni.it/blog/best-practice/attacchi-informatici-2025-alle-aziende-italiane-analisi-dei-casi-reali-e-lezioni-apprese/
- https://www.agendadigitale.eu/sicurezza/cybersicurezza-in-italia-aziende-sotto-attacco-i-nuovi-dati-oad/
- https://www.aessesoluzioni.it/blog/tecnology/attacchi-informatici-alle-aziende-italiane-casi-reali-e-lezioni-apprese-per-rafforzare-la-resilienza-operativa/
- https://www.axitea.com/it/blog/ot-security-tipologie-di-attacchi-informatici-ai-sistemi-industriali/
- https://www.ictsecuritymagazine.com/notizie/eu-data-act/