La cybersecurity industriale oggi si confronta con un’evoluzione delle minacce che punta a colpire direttamente il cuore dei processi produttivi. Ransomware, tentativi di brute force e tecniche più sofisticate come la data manipulation sono progettati per compromettere il funzionamento degli impianti e l’affidabilità dei dati operativi.
Il cybercrime mira a bloccare le linee di produzione, provocare perdite finanziarie e interrompere le supply chain con effetti a cascata. In un contesto come quello italiano, questo scenario assume una rilevanza particolare.
Il settore manifatturiero, che rappresenta una componente centrale dell’economia nazionale, è profondamente integrato nelle filiere internazionali e proprio per questo si configura come un bersaglio ad alto valore.
Nell’ultima edizione del report “OT/IoT Cybersecurity Trends and Insights” presentato da Nozomi Networks, gli analisti evidenziano come sia il più esposto nel Paese e come il 63% delle organizzazioni manifatturiere presenti un profilo di rischio elevato, a fronte di una media globale del 48%.
«Oltre al tema dello spionaggio industriale, che impatta sulla competitività e sulla brand reputation di un’impresa, oggi cresce la capacità degli attaccanti di inserirsi nei sistemi di controllo e intervenire sui parametri operativi che governano i processi – spiega Alessandro Di Pinto, Senior Director of Security Research -. Non parliamo solo di accesso ai dati, ma della possibilità di modificare setpoint, logiche di controllo o sequenze operative all’interno degli impianti. Questo significa alterare il comportamento delle macchine senza necessariamente fermarle: degradare progressivamente le prestazioni, aumentare o ridurre soglie, introdurre variazioni nei cicli produttivi, accelerare componenti o cicli operativi aumentando l’usura delle macchine e riducendone il ciclo di vita».
Indice degli argomenti
Dalla sensoristica alla sicurezza: come leggere i segnali dei sistemi OT e IoT
Il punto di fragilità dell’industria produttiva italiana è che la forte matrice imprenditoriale padronale non dà il giusto peso alla cybersecurity degli impianti, lasciando spazio a vulnerabilità che emergono solo quando impattano direttamente sull’operatività.
Il report evidenzia come questa debolezza sia ancora diffusa, anche perché le comunicazioni wireless sono sempre più presenti negli ambienti industriali senza una progettazione orientata alla protezione.
- il 68% delle reti wireless non dispone di meccanismi adeguati per proteggere le comunicazioni
- il 98% utilizza sistemi di accesso basati su credenziali condivise, che non consentono di distinguere in modo puntuale chi si collega e con quali dispositivi
- solo il 2% adotta sistemi di autenticazione avanzata, in grado di potenziare i processi di identificazione
In queste condizioni, la capacità di individuare comportamenti anomali si riduce drasticamente, creando un contesto in cui le minacce possono rimanere latenti anche per molti anni.
Il punto di attenzione è che negli ambienti IoT e OT le informazioni raccolte da sensori e dispositivi connessi oggi non supportano più solo l’operatività, ma permettono di costruire una visione continua degli asset e dei loro comportamenti. È su questa capacità di lettura che si innestano le piattaforme di sicurezza più evolute.
«Negli ambienti industriali la gestione della sicurezza si scontra con vincoli operativi molto concreti – sottolinea Di Pinto -. Gli aggiornamenti non sono sempre immediati: sistemi e dispositivi restano spesso su versioni meno recenti, non solo per limiti organizzativi ma perché intervenire comporta rischi diretti sull’operatività. Un aggiornamento può avere impatti su impianti che non prevedono ridondanza o backup, con il rischio di fermare la produzione. In questi contesti, il tema non è solo tecnologico ma anche culturale nel bilanciare la gestione del rischio per garantire sicurezza e continuità operativa».
Cybersecurity industriale: la nuova frontiera geopolitica passa dai sistemi produttivi
In uno scenario internazionale segnato da tensioni crescenti, conflitti aperti e dinamiche di competizione tra stati, la cybersecurity industriale assume una valenza che supera il perimetro tecnologico. Se gli ambienti OT e IoT diventano il punto in cui si concentra la capacità produttiva di un Paese, di conseguenza, diventano dei vettori attraverso cui esercitare pressione economica e industriale. Rispetto al panorama globale dove dominano gli attacchi Adversary-in-the-Middle (AiTM), in Italia la tecnica più utilizzata è stata la Data Manipulation, responsabile di oltre un quarto di tutti gli alert.
Il Brute Force si è classificato al secondo posto. Gli attaccanti che prendono di mira l’Italia si concentrano sulla corruzione silenziosa dei dati operativi, che può indurre decisioni errate, innescare processi non sicuri, creare non conformità normative e causare danni significativi a valle prima che qualcuno si renda conto che dati e sistemi operativi sono compromessi. Parallelamente, emerge una presenza significativa di gruppi organizzati e attori riconducibili a contesti statuali, a conferma di una pressione crescente sulle infrastrutture industriali anche in chiave geopolitica.
«Il rischio geopolitico cambia il quadro interpretativo – sottolinea Pinto -. In questo caso un attacco non parte mai da zero: gli attaccanti lavorano per anni per posizionarsi all’interno dei sistemi industriali, arrivando a governare in modo occulto i gangli delle filiere. Ci sono esempi noti in cui l’alterazione dei processi industriali è stata progettata con largo anticipo e scoperta solo dopo anni, quando gli effetti erano già in corso. Attraverso i dati raccolti negli ambienti OT e IoT che vengono individuati pattern di attacco, comportamenti anomali e tendenze che caratterizzano il panorama delle minacce le nostre analisi evidenziano come in Italia il manifatturiero è il primo target del cybercrime seguito dai trasporti, mentre a livello globale è il settore dei trasporti a risultare il più esposto, insieme al manifatturiero e al settore pubblico».
Il tutto considerando come gli attaccanti, che agiscono nell’ombra, sono attori diversi e con obiettivi differenti.
«In un contesto geopolitico teso, gli attacchi possono essere riconducibili a gruppi sponsorizzati da governi avversari, interessati a indebolire infrastrutture e capacità produttive – ha aggiunto Davide Boglioli, Cyber Security Manager di Nozomi -. Ma non sono gli unici: a muoversi ci sono anche malintenzionati motivati da logiche puramente economiche, che mettono i ransomware per estorcere denaro dal riscatto o, ancora, attivisti che vogliono protestare e quindi fanno danno, cercando visibilità mediatica».
L’AI come moltiplicatore degli attacchi nei sistemi produttivi
Un altro aspetto chiave rilevato dagli analisti è come l’intelligenza artificiale stia modificando in modo sostanziale la velocità e la qualità delle operazioni malevole, con un impatto diretto anche sugli ambienti industriali. L’uso di modelli generativi consente di sviluppare codice malevolo, costruire identità digitali credibili e realizzare campagne di phishing sempre più sofisticate. L’uso dell’AI, infatti, elimina tutte quelle anomalie che in passato permettevano di intercettare un attacco, come errori linguistici o incoerenze nei messaggi.
«L’AI è un moltiplicatore di competenze – ha ribadito Boglioli -. Gli attaccanti usano l’intelligenza generativa come supporto operativo, facendosi aiutare nell’individuare vulnerabilità e definire le modalità di attacco anche in ambienti complessi e interconnessi. Questo si traduce in una compressione drastica dei tempi di esposizione delle infrastrutture industriali. Se nel 2023 il tempo medio per passare dalla scoperta di una vulnerabilità al suo sfruttamento era di circa 40 giorni, nel 2024 siamo scesi a 20, nel 2025 a 5. Oggi abbiamo rilevato come l’attacco avvenga nello stesso giorno in cui la vulnerabilità viene resa pubblica».
Il ruolo di Nozomi Networks
È proprio in questo contesto di accelerazione e crescente complessità che diventa centrale la capacità di osservare e interpretare ciò che accade negli ambienti OT e IoT. Una prospettiva resa possibile anche dalla presenza globale di Nozomi Networks che, con oltre 11.000 installazioni in settori ad alta criticità industriale e dispositivi core come la piattaforma Guardian, integrata con la gestione centralizzata Vantage/Vantage Cloud, monitora oltre 102 milioni di dispositivi OT, IoT e IT.
«Nozomi Networks nasce nel 2013 dall’intuizione di due imprenditori italiani di Varese, Andrea Carcano e Moreno Carullo, oggi rispettivamente Chief Data Officer e Chief Technology Officer dell’azienda – ha concluso Davide Ricci, Regional Sales Director Italia -. Precorrendo i tempi, i fondatori hanno puntato sulla sicurezza informatica in ambito industriale, costruendo delle piattaforme OT capaci di unire visibilità sugli asset, rilevamento delle minacce e analisi dei comportamenti.
Con la diffusione pervasiva della sensoristica IoT il perimetro d’azione si è ampliato. Oggi, nell’industria, gli oggetti connessi e comunicanti rendono il monitoraggio da remoto, grazie alla telemetria, uno standard. Questo rende la cybersecurity industriale un aspetto strategico della continuità operativa del business.
Questo vale sia per chi gestisce e manutiene gli impianti, ma anche per chi ha altre intenzioni. Non tutte le vulnerabilità derivano da attacchi mirati: possono nascere da configurazioni errate, accessi lasciati aperti o interventi operativi non governati. In questo contesto, avere visibilità su ciò che accade diventa fondamentale per prevenire criticità che riguardano la gestione complessiva del sistema. E le nostre soluzioni fanno proprio questo».
È su questa evoluzione del perimetro industriale che si è costruita la crescita di Nozomi. Sostenuta da fondi di investimento svizzeri e americani, nel tempo la startup è cresciuta fino a diventare uno dei principali attori globali della cybersecurity industriale, superando i 100 milioni di dollari di fatturato, con un’organizzazione di circa 400 persone e una presenza trasversale nei principali settori industriali. L’azienda collabora oggi con alcune delle più grandi realtà globali, tra cui 5 delle prime 10 compagnie oil & gas, 7 delle prime 10 aziende farmaceutiche e 7 delle principali utility, ed è la prima realtà privata della sicurezza OT ad aver raggiunto il pareggio operativo e un flusso di cassa sostenibile. Il posizionamento è confermato anche dai principali analisti: Gartner la colloca nel Magic Quadrant per le piattaforme di protezione CPS, mentre Forrester la posiziona tra i vendor di riferimento nella Forrester Wave dedicata alla sicurezza IoT.
L’ingresso a gennaio 2026 nel gruppo Mitsubishi Electric, che oggi detiene il 100% delle quote, segna una nuova fase di sviluppo senza alterarne il modello operativo: Nozomi continua a operare in modo indipendente, mantenendo roadmap tecnologica e approccio multi-vendor. Un elemento che si riflette anche nell’organizzazione, con il centro R&D a Mendrisio, in cui lavorano moltissimi talenti, in larga parte italiani, mentre l’headquarter globale è a San Francisco.
Sostenuta da fondi di investimento svizzeri e americani, nel tempo la start up è cresciuta…. scalare rapidamente fino a diventare uno dei principali attori globali della cybersecurity industriale, superando i 100 milioni di dollari di fatturato e consolidando una presenza trasversale nei principali settori industriali. L’ingresso nel gruppo Mitsubishi Electric, che oggi detiene il 100% delle quote, segna una nuova fase di sviluppo senza alterarne il modello operativo: Nozomi continua a operare in modo indipendente, mantenendo roadmap tecnologica e approccio multi-vendor. Un’evoluzione che si riflette anche nel presidio europeo, con il centro R&D di Mendrisio che rappresenta uno snodo tecnologico rilevante e valorizza competenze italiane in un contesto internazionale.
