La cybersicurezza è un elemento strategico fondamentale nell’industria manifatturiera per garantire continuità operativa, protezione degli asset e sicurezza delle infrastrutture critiche. L’articolo esplora sfide e opportunità della sicurezza industriale attraverso i contributi di Eleftherios Antoniades di ClearSkies, Fabio Sammartino di Kaspersky, della Prof.ssa Annita Larissa Sciacovelli dell’Università degli Studi di Bari Aldo Moro e di Gabriele Minniti di WhySecurity.
di Alberto Marelli
Nel contesto della trasformazione digitale, anche il comparto industriale si trova sempre più esposto a minacce informatiche sofisticate e in continua evoluzione. La cybersicurezza non è più un tema relegato al solo ambito IT, ma rappresenta oggi un pilastro strategico per garantire la continuità operativa, la protezione degli asset e la sicurezza delle infrastrutture critiche.
In questo articolo analizziamo sfide e opportunità della sicurezza industriale attraverso il contributo di Eleftherios Antoniades di ClearSkies, Fabio Sammartino di Kaspersky, della Prof.ssa Annita Larissa Sciacovelli dell’Università degli Studi di Bari Aldo Moro e di Gabriele Minniti di WhySecurity.
Qual è oggi il livello di esposizione del comparto industriale italiano alle minacce cyber, in particolare per le PMI manifatturiere?
Eleftherios Antoniades (ClearSkies)
Il settore industriale italiano e, in particolare, le PMI manifatturiere, si trovano oggi ad affrontare uno dei più alti livelli di esposizione in Europa. Essendo la seconda economia manifatturiera dell’UE, l’Italia è profondamente integrata nelle supply chain globali nei settori automotive, aerospazio e metalmeccanico, che nel 2025 sono diventati obiettivi primari.
Secondo il nostro rapporto “EMEA Cybersecurity State 2025”, si è registrato un forte aumento dei ransomware e delle intrusioni nella supply chain. I moderni attori delle minacce non distinguono più tra un gigante globale e i suoi fornitori più piccoli; colpiscono semplicemente chi offre il punto d’ingresso più facile. Per molte PMI, la combinazione di apparecchiature “legacy” obsolete, l’assenza di barriere di rete interne e la mancanza di un monitoraggio 24 ore su 24, 7 giorni su 7, le rende un “punto di accesso privilegiato” all’intero ecosistema industriale.
Fabio Sammartino (Kaspersky)
Il livello di esposizione del comparto industriale è oggi molto elevato e in costante crescita. Secondo una ricerca Kaspersky, il 90% delle organizzazioni ha subito almeno un incidente di cybersecurity nell’ultimo anno, con oltre un terzo di casi gravi. Il 57% ha registrato interruzioni operative e l’80% tentativi di furto di proprietà intellettuale. Questo evidenzia come il tema non riguardi più solo la protezione dei dati, ma la continuità del business. Le PMI manifatturiere risultano particolarmente esposte: da un lato rappresentano asset strategici, dall’altro dispongono spesso di risorse limitate. La combinazione tra digitalizzazione, sistemi legacy e integrazione IT/OT amplia ulteriormente la superficie d’attacco.
Annita Larissa Sciacovelli (Università degli studi di Bari Aldo Moro)
Il comparto industriale italiano presenta oggi un livello di esposizione al rischio cyber abbastanza elevato, con importanti criticità per le PMI manifatturiere, poiché sono l’anello più vulnerabile della supply chain. Il dato significativo di Clusit (Associazione Italiana per la Sicurezza Informatica) è che solo circa il 15% delle PMI manifatturiere raggiunge un livello di maturità cyber adeguato. Ciò dimostra che il rischio viene ancora spesso sottovalutato.
Occorre considerare inoltre che oltre al problema della consapevolezza e di maturità, le PMI sempre più si trovano ad utilizzare strumenti, macchine e tecnologie che le espongono a rischi cibernetici. Ad esempio, l’integrazione tra macchine CNC, intelligenza artificiale e reti aziendali, la cosiddetta Industria 4.0, oggi espone il mondo manifatturiero a rischi cyber che fino a pochi anni fa semplicemente non esistevano. In passato una macchina era sostanzialmente isolata; oggi è un sistema connesso alla rete e, come tale, potenzialmente vulnerabile ad attacchi informatici.
Ciò comporta che la cybersecurity non rappresenta più solo un tema di Information Technology (IT), ma un ambito di compliance e responsabilità gestionale che necessita di un approccio di “security by governance”. Questo è richiesto sia dalla Direttiva NIS2, che impone profili di responsabilità per gli organi apicali e misure tecniche e organizzative proporzionate lungo tutta la supply chain, sia dai clienti importanti dei settori automotive e aerospaziale, che sottopongono i propri “stampisti” a verifiche sempre più rigorose sul livello di cybersicurezza. Se il fornitore non garantisce adeguati standard di sicurezza, rischia di perdere il contratto, o ancora peggio di uscire velocemente dal mercato.
Gabriele Minniti (WhySecurity)
Le PMI manifatturiere sono per i criminali un ottimo bersaglio perché hanno impianti ICS/SCADA sempre più connessi senza rispettare quelli che sono i framework di Sicurezza più riconosciuti ed accreditati come IEC 62443 o NIST SP800-83. Nel mondo, il manufacturing è al 4° posto tra i settori più colpiti: il report indica 400 incidenti nel 2025, in crescita del 79% rispetto ai 224 del 2024. In Italia, il manifatturiero resta al 2° posto tra le vittime, con 64 incidenti nel 2025, pari al 12,6% degli incidenti italiani; nel 2024 erano 56, quindi l’aumento è di circa +14%.
Quali sono gli attacchi più frequenti che colpiscono gli ambienti industriali (OT) e le infrastrutture di fabbrica, e quali impatti concreti possono avere sulla continuità produttiva?
Eleftherios Antoniades (ClearSkies)
Attualmente quattro schemi specifici dominano il panorama industriale:
– Ransomware con impatto sull’OT: rimane la principale causa di interruzioni non pianificate della produzione.
– Compromissione della supply chain: gli attori delle minacce ottengono accesso attraverso software di ingegneria affidabili o strumenti di manutenzione remota utilizzati dai fornitori.
– Abuso delle credenziali: furto di password per passare dai computer d’ufficio (IT) ai macchinari di produzione (OT) attraverso reti interne non protette.
– Malware industriale mirato: malware avanzato progettato specificamente per interrompere i controller industriali, spesso distribuito usando l’IA per individuare vulnerabilità.
Le conseguenze sono devastanti: linee produttive ferme per giorni, lotti compromessi, scadenze di consegna non rispettate e sistemi di sicurezza costretti a entrare in modalità di protezione. Per un produttore di medie dimensioni, il costo di un solo giorno di fermo produttivo supera spesso l’intero budget annuale destinato alla cybersecurity.
Fabio Sammartino (Kaspersky)
Nel mondo industriale gli attacchi più frequenti restano ransomware, malware per sistemi di automazione e DDoS. Per Kaspersky, il 17% delle aziende indica il ransomware come minaccia critica, il 20% segnala malware OT e il 19% attacchi DDoS. Parallelamente, l’80% delle aziende ha subìto tentativi di sottrazione di informazioni sensibili. Gli impatti sono concreti: fermi linea, perdita di produzione e ritardi nella supply chain. Non sorprende quindi che oltre la metà delle aziende abbia registrato più interruzioni operative nel corso dell’anno, con conseguenze economiche rilevanti anche per stop di breve durata.
Annita Larissa Sciacovelli (Università degli studi di Bari Aldo Moro)
Tra le minacce più frequenti vi sono i ransomware, sempre più spesso supportati dall’Intelligenza Artificiale (AI) con un aumento di scala, velocità e capacità di adattamento. L’AI permette di automatizzare la fase di ricognizione e selezione dei target, inclusi sistemi IT, SCADA e HMI, con il rischio concreto di un blocco delle linee produttive.
Peraltro, anche l’utilizzo dell’AI nei processi industriali introduce ulteriori profili di vulnerabilità. In particolare, il cosiddetto “data poisoning” colpisce la fase di addestramento del modello: l’attaccante altera o inserisce dati falsi nei dataset utilizzati per “istruire” il sistema AI, inducendolo ad apprendere comportamenti errati o a contenere backdoor nascoste. Diversamente, gli “adversarial attacks” colpiscono la fase operativa del modello già addestrato, manipolando i dati di input attraverso perturbazioni quasi impercettibili, ma sufficienti a provocare errori di classificazione o decisioni errate.
In ambito industriale, tali attacchi possono avere effetti particolarmente critici. Ad esempio, se un sistema AI che controlla parametri produttivi viene compromesso, potrebbe interrompere la produzione o alterare il corretto funzionamento dell’impianto. Uno dei rischi più concreti riguarda il sabotaggio operativo attraverso la manipolazione del G-Code o dei parametri di lavorazione, con la possibile produzione di componenti difettosi, spesso non immediatamente rilevabili, oppure collisioni e danni ai macchinari.
Ancora più delicato è il caso in cui un sistema AI gestisca la velocità di avanzamento di una pressa metallica o il ciclo di raffreddamento di uno stampo ad alta precisione: un attacco di data poisoning potrebbe provocare guasti agli impianti, incendi o persino infortuni ai lavoratori.
Un’altra criticità consiste nel furto di proprietà intellettuale (IP). Nei moderni sistemi CNC, se un attaccante riesce ad accedere ai sistemi che ospitano i file CAD/CAM, può copiare in pochi istanti interi cataloghi di prodotti e know-how industriale.
Esiste poi il rischio di reverse engineering: monitorando i dati inviati dai sistemi di intelligenza artificiale verso piattaforme cloud per attività di ottimizzazione, un soggetto malevolo potrebbe ricostruire processi produttivi proprietari, metodologie operative e competenze distintive dell’impresa.
In questo scenario, è evidente che il rischio cyber non riguarda più soltanto la protezione dei dati, ma si estende direttamente alla sicurezza fisica, alla continuità produttiva, alla responsabilità dell’impresa e a profili di responsabilità contrattuale.
Gabriele Minniti (WhySecurity)
Il ransomware è ancora la minaccia più temibile per il mondo OT. Questo accade perché controlli basilari della separazione delle reti tra IT e OT non sono ancora adottati in modalità massiva. Questo genere di attacco ha successo perché le modalità di accesso remoto non sono gestite secondo gli standard di sicurezza minimi richiesti, come l’uso dell’autenticazione Multifattore ed il controllo di postura dei fornitori, oltre a software di accesso remoto lasciati abbandonati sui computer del comparto OT.
La crescente interconnessione tra sistemi IT e OT sta ampliando il perimetro di rischio: quali criticità emergono più spesso nelle realtà produttive?
Eleftherios Antoniades (ClearSkies)
La convergenza tra IT e OT ha di fatto eliminato l’“air gap”, cioè la vecchia idea secondo cui i macchinari di fabbrica siano al sicuro perché non connessi a Internet. Osserviamo frequentemente:
– Reti “piatte”: situazioni in cui un virus su un laptop d’ufficio può raggiungere un controller di produzione (PLC) in soli due passaggi.
– Apparecchiature legacy: macchine più vecchie prive di protezioni di base, come password o registrazione delle attività.
– Accessi remoti non controllati: connessioni non monitorate utilizzate da fornitori esterni e team di manutenzione.
– Vuoto di governance: un divario pericoloso in cui il reparto IT, il team di ingegneria e i responsabili di stabilimento danno per scontato che la sicurezza sia gestita da qualcun altro.
Il risultato è un’enorme superficie di attacco che, nella maggior parte degli stabilimenti, non viene monitorata in tempo reale.
Fabio Sammartino (Kaspersky)
La convergenza IT-OT introduce efficienza e innovazione, ma anche nuove vulnerabilità. L’86% delle aziende considera la propria supply chain esposta al rischio cyber e il 43% la giudica altamente vulnerabile. Tra le principali criticità emergono la presenza di sistemi legacy difficili da aggiornare, la scarsa segmentazione tra reti IT e OT e l’aumento di dispositivi connessi e accessi remoti. Anche il fattore umano incide in modo significativo: il 21% delle aziende segnala rischi legati a comportamenti o accessi non controllati. Nel complesso, questi elementi rendono gli ambienti industriali più complessi da proteggere, soprattutto in mancanza di visibilità.
Annita Larissa Sciacovelli (Università degli studi di Bari Aldo Moro)
La convergenza IT-OT ha portato efficienza e integrazione dei processi, ma ha anche ridotto l’“air gap”, cioè l’isolamento tra sistemi informatici e impianti produttivi, introducendo nuove vulnerabilità e rendendo più complessa la gestione sotto il profilo organizzativo e legale.
La prima criticità riguarda i sistemi legacy: molti macchinari industriali hanno cicli di vita molto lunghi e operano ancora con sistemi operativi obsoleti e non più supportati, che non possono essere facilmente aggiornati e che oggi risultano esposti perché sempre più connessi.
Un secondo problema è la scarsa segmentazione delle reti: in assenza di adeguate barriere, un incidente originato da una semplice email di phishing può propagarsi fino ai sistemi di controllo industriale, con impatti diretti sulla produzione.
Infine, esiste un conflitto strutturale tra le priorità IT e quelle OT: l’IT privilegia sicurezza e riservatezza dei dati, mentre l’OT si basa sulla disponibilità e continuità degli impianti. Questo rende complessa la gestione degli aggiornamenti di sicurezza, poiché il riavvio di un sistema può comportare fermi produttivi. In altre parole, è richiesto un attento bilanciamento tra rischio cyber e continuità operativa.
Gabriele Minniti (WhySecurity)
L’assenza dell’adozione del Purdue Model, che dovrebbe essere il primo obiettivo chiave e strategico per dare un’impostazione alla resilienza cibernetica che sia effettivamente di sostanza. Troppo spesso manca addirittura l’inventario esatto degli strumenti in campo, come tipologia di PLC, RTU, di cui non si conoscono neanche le versioni di firmware e le vulnerabilità che potrebbero essere molto facilmente sfruttate. Se aggiungete a tutto questo anche l’assenza di una corretta segmentazione di rete, diventa una vera e propria bomba ad orologeria dagli esiti potenzialmente incalcolabili e devastanti.
Quali misure di base suggerisce alle aziende manifatturiere per innalzare il livello di cybersicurezza senza stravolgere i processi produttivi?
Eleftherios Antoniades (ClearSkies)
Consigliamo una sequenza in quattro fasi, non invasiva:
1. Visibilità: utilizzare strumenti di “scoperta passiva” per identificare ogni dispositivo presente sulla rete. Non si può difendere ciò che non si riesce a vedere.
2. Segmentazione: organizzare la rete in modo che le aree di produzione siano isolate dall’IT d’ufficio e dagli accessi dei fornitori. Se un’area viene violata, il resto rimane al sicuro.
3. Rilevamento centralizzato: consolidare il monitoraggio dei sistemi d’ufficio e di fabbrica. La nostra piattaforma ClearSkies™ Centric AI e il modello Autonomous SOC lo rendono possibile usando l’IA per rilevare e reagire alle minacce alla “velocità della macchina”, senza dover installare software invasivi su controller di fabbrica sensibili.
4. Preparazione: provare il piano di risposta insieme ai team di produzione. Le decisioni su come contenere una violazione devono essere pre-autorizzate, mai improvvisate durante una crisi.
Fabio Sammartino (Kaspersky)
Per innalzare il livello di sicurezza senza impattare la produzione è necessario adottare un approccio strutturato e progressivo che integri tecnologia, processi e competenze. Le aziende devono puntare sulla prevenzione. Il primo passo è una valutazione approfondita del rischio: audit di sicurezza mirati permettono di identificare vulnerabilità, configurazioni errate e sistemi critici, definendo priorità di intervento concrete. Su questa base è possibile introdurre misure efficaci ma sostenibili, come la segmentazione tra ambienti IT e OT, il monitoraggio continuo degli asset industriali e una gestione più sicura degli accessi remoti, elementi sempre più centrali in contesti produttivi interconnessi. Parallelamente, è fondamentale investire nella formazione del personale, perché il fattore umano resta uno dei principali punti di ingresso delle minacce.
In questo percorso, l’adozione di soluzioni specifiche rappresenta un abilitatore chiave. Con Kaspersky Industrial Cybersecurity proponiamo un approccio integrato per proteggere sistemi SCADA, HMI, PLC e reti industriali attraverso funzionalità di prevenzione, monitoraggio e risposta agli incidenti, garantendo visibilità sugli asset OT, rafforzando la resilienza e migliorare la postura di sicurezza senza introdurre complessità o impatti sulla continuità operativa.
Annita Larissa Sciacovelli (Università degli studi di Bari Aldo Moro)
Per difendersi, le aziende manifatturiere devono adottare un approccio basato sulla corretta valutazione del rischio, sulla separazione e sul controllo degli ambienti critici e sulla formazione.
La prima misura fondamentale è la segmentazione delle reti, cioè la separazione controllata tra la rete IT aziendale e la rete OT che gestisce macchine e impianti, così da impedire che un incidente informatico possa propagarsi direttamente ai sistemi produttivi.
Per gli asset più critici può inoltre rendersi necessario un livello di protezione più elevato, attraverso soluzioni di isolamento (“air-gap”), utilizzate per macchine o postazioni strategiche che non devono essere direttamente collegate alla rete aziendale o a Internet. Questo approccio riduce drasticamente la superficie di attacco.
Molto importante è anche il sandboxing, ossia l’utilizzo di ambienti isolati per aprire file o software provenienti dall’esterno. Ad esempio, un file CAD ricevuto da un nuovo fornitore può essere verificato in un ambiente separato, evitando che eventuali malware raggiungano l’ERP o macchinari industriali.
Infine, assume particolare rilevanza la protezione dei dati industriali strategici (file CAD/CAM, parametri produttivi, dati clienti e informazioni finanziarie) attraverso accessi remoti controllati, cifratura e sistemi dedicati. E non dimentichiamoci che anche la formazione del board e del personale (su awerness e igiene cyber) è una misura di diligenza organizzativa rilevante anche ai fini della responsabilità in caso di incidente.
Gabriele Minniti (WhySecurity)
Innanzitutto partire da un Assessment sulla parte OT fatto da professionisti qualificati e con certificazioni internazionali riconosciute nel settore. Sappiamo bene che il personale oggi formato è molto poco rispetto alla domanda del mercato. La seconda raccomandazione è l’adozione del Purdue Model che viene considerato uno dei piloni fondamentali, segmentando la rete in modo corretto ed inserendo tutti i componenti ed i processi di resilienza cibernetica necessari per arrivare a dotarsi di un servizio SOC specifico per la parte OT.
Guardando al futuro, quali tecnologie emergenti (IIoT, cloud industriale, intelligenza artificiale, digital twin) richiederanno maggiore attenzione in termini di sicurezza?
Eleftherios Antoniades (ClearSkies)
Ogni rivoluzione industriale premia chi si muove per tempo e penalizza chi arriva tardi, e la Quinta Rivoluzione Industriale sta seguendo lo stesso schema:
– Industrial Internet of Things (IIoT): aggiunge migliaia di nuovi dispositivi che spesso presentano una sicurezza debole.
– Cloud industriale: sposta dati di processo sensibili fuori dalla fabbrica, sollevando preoccupazioni sulla sovranità dei dati alla luce di nuove normative come NIS2 e il Data Act dell’UE.
– IA e Machine Learning: pur essendo utili per il controllo qualità, questi modelli possono essere bersaglio di “data poisoning” o di furto di proprietà intellettuale.
– Digital Twin: poiché rispecchiano in tempo reale le linee di produzione fisiche, rappresentano obiettivi di alto valore per lo spionaggio industriale.
La messa in sicurezza di questi livelli richiede un approccio guidato dall’intelligence, che utilizzi difese potenziate dall’IA per fermare minacce che si muovono alla velocità della tecnologia moderna nell’era dell’Intelligenza Artificiale.
Fabio Sammartino (Kaspersky)
Le tecnologie emergenti porteranno grandi opportunità ma anche nuovi rischi, ampliando ulteriormente la superficie d’attacco. La diffusione di sistemi connessi e automatizzati è già oggi un fattore chiave nell’aumento del rischio cyber. L’IIoT moltiplica i punti di ingresso, il cloud introduce complessità nella gestione delle configurazioni, mentre l’IA rende sia le difese sia gli attacchi più sofisticati. Il Digital Twin, inoltre, espone a rischi legati all’integrità dei dati e alla sincronizzazione tra mondo fisico e digitale. In questo scenario, sarà fondamentale adottare un approccio “security by design”, integrando la sicurezza fin dalle fasi iniziali per garantire un’innovazione sostenibile e resiliente.
Annita Larissa Sciacovelli (Università degli studi di Bari Aldo Moro)
Siamo di fronte a tecnologie emergenti che, da un lato, innovano e trasformano l’industria in un ecosistema sempre più interconnesso, e, dall’altro, ridefiniscono il perimetro del rischio e, quindi, la stessa responsabilità aziendale.
L’Industrial IoT, ad esempio, con la moltiplicazione di sensori e dispositivi connessi lungo la filiera produttiva, amplia di molto la superficie di attacco e rende più complessa la governance degli accessi e della sicurezza. Il cloud industriale sposta invece una parte critica delle infrastrutture fuori dal perimetro aziendale, imponendo un’attenta gestione contrattuale e la chiara definizione delle responsabilità nel modello di “shared responsibility”, soprattutto in termini di continuità operativa e protezione dei dati.
In questo scenario, l’intelligenza artificiale agisce come fattore trasversale: da un lato potenzia le capacità di difesa e monitoraggio, dall’altro aumenta velocità e sofisticazione degli attacchi, incidendo direttamente sull’adeguatezza delle misure di prevenzione e risposta. I Digital Twin, infine, se, per un verso, sono molto utili perché creano una replica digitale di un impianto, dal punto di vista del rischio, introducono una nuova criticità. Infatti, se il modello digitale viene alterato o compromesso, le decisioni operative possono essere influenzate in modo errato, con effetti diretti sulla produzione reale.
In buona sostanza, e anche dal punto di vista legale, l’Industria 4.0 richiede un approccio integrato tra compliance, governance e contrattualistica della supply chain, con un focus importante sulla dimostrabilità delle misure adottate e sulla corretta allocazione delle responsabilità lungo l’intero ecosistema digitale, anche perché gli attacchi informatici oggi si comportano più come shock economici che come guasti tecnologici. E il caso dell’attacco informatico alla Jaguar-Land Rover di agosto 2025 in Inghilterra, con il blocco dei sistemi produttivi, lo dimostra chiaramente.
Gabriele Minniti (WhySecurity)
In realtà tutte quelle citate nella domanda lo richiederanno. La cybersecurity è un processo, lo ribadiamo con forza ed è una scienza multidisciplinare, pertanto la scelta di prodotti certificati, l’adozione di un modello di Governance del mondo OT sono i fondamenti per poter indirizzare anche la scelta delle tecnologie da adottare in base ai profili di rischio che verranno definiti. La riflessione più importante dovrà essere su quanto il cloud potrà essere effettivamente adottato in ambito OT. Questo è sicuramente un punto che richiederà riflessioni importanti alla luce anche dei recenti avvenimenti.
