Il panorama della sicurezza informatica per le infrastrutture critiche ha assunto una dimensione di urgenza che va ben oltre la semplice manutenzione tecnica.
Durante il convegno “Cybersecurity: immaginare l’imprevedibile”, organizzato dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, Thomas Piret, Head of ICT Security & Compliance di SEA Milano, ha offerto una panoramica dettagliata sulle dinamiche che regolano la gestione incidenti cyber in un ambiente ad altissima pressione come quello aeroportuale.
La discussione, che ha evidenziato la complessità del difendere realtà nevralgiche — specialmente dopo eventi di portata internazionale come le recenti Olimpiadi — ha messo in luce una realtà dove l’incidente non è più un’eventualità remota, ma un elemento da integrare nei processi operativi.
Piret ha esordito accogliendo con favore una definizione forte per descrivere il lavoro quotidiano del responsabile della sicurezza: «La parola ‘combattere’ è spesso associata al ruolo del CISO in varie aziende. Sovente è così». Questa dimensione di conflitto costante nasce da un dato numerico preciso: la crescita degli attacchi nel settore del trasporto aereo, che nel biennio 2024-2025 ha registrato un incremento significativo sia in Italia che nel resto del mondo. La gestione incidenti cyber diventa quindi la priorità assoluta per garantire la continuità di servizio in scali di importanza strategica.
Indice degli argomenti
Le minacce dominanti: l’impatto dei DDoS e dei Ransomware
Secondo l’analisi di Piret, il settore aeroportuale deve confrontarsi principalmente con due tipologie di minacce che mirano a colpire la stabilità operativa e l’immagine pubblica delle società di gestione: gli attacchi DDoS (Distributed Denial of Service) e i ransomware. La pericolosità di queste azioni non risiede solo nella loro sofisticazione tecnica, ma nella capacità di colpire punti nevralgici della filiera.
Un esempio concreto citato dal responsabile della sicurezza di SEA riguarda un episodio avvenuto a ottobre, quando un attacco ransomware ha colpito un importante fornitore di servizi aeroportuali. Le conseguenze sono state tangibili e immediate: l’azione malevola ha «quasi paralizzato parte dei processi di check-in» di diversi aeroporti, dimostrando come gli attaccanti stiano ora puntando direttamente ai processi core delle infrastrutture.
La scelta degli aeroporti come bersaglio risponde a logiche precise. Da un lato vi è la ricerca di un impatto mediatico enorme, che può essere ottenuto anche attraverso un attacco DDoS di piccole dimensioni, capace però di generare disservizi visibili. Dall’altro lato, vi è la magnitudo del danno operativo: un attacco ransomware può arrivare a paralizzare un intero scalo.
Per comprendere la scala del rischio nella gestione incidenti cyber, Piret ha fornito i dati relativi agli aeroporti gestiti da SEA: «Se parliamo di Malpensa e Linate, gli aeroporti gestiti da SEA, parliamo di circa 100.000 passeggeri gestiti al giorno». In un ecosistema dove ogni minuto conta, un processo paralizzato può tradursi in un danno incalcolabile per migliaia di persone e per l’intero sistema logistico regionale.
La complessità dell’ecosistema e le interdipendenze tecnologiche
Uno degli ostacoli principali nella gestione incidenti cyber è rappresentato dalla natura stessa dell’ambiente aeroportuale, definito come un ecosistema complesso dove le responsabilità sono frammentate tra numerosi attori. Piret ha sottolineato che l’aeroporto non è un’entità isolata, ma un punto di incontro dove entrano in gioco passeggeri, handler, compagnie aeree e fornitori esterni. Ognuno di questi soggetti porta con sé tecnologie diverse, creando una rete di interdipendenze fittissima.
Questa frammentazione tecnologica e operativa comporta una «difficoltà per la cybersecurity nel tenere sotto controllo quello che succede non solo all’interno dell’aeroporto, ma tra tutti gli attori dell’ecosistema». La protezione non può quindi limitarsi al perimetro informatico di SEA, ma deve estendersi a ogni nodo della rete che, se compromesso, potrebbe riflettersi sull’operatività globale dello scalo.
Tre pilastri per una gestione incidenti cyber efficace
Per affrontare queste sfide, la strategia delineata da Piret si articola su tre direttrici fondamentali mirate ad abbassare il rischio e rafforzare la risposta agli incidenti.
Collaborazione e condivisione delle informazioni
Il primo pilastro consiste nel rafforzamento della collaborazione, che deve superare i confini tra i dipartimenti Cybersecurity e IT per coinvolgere tutti gli attori interni ed esterni, sia a livello nazionale che internazionale. Un ruolo centrale è svolto dai gruppi di associazione tra aeroporti, dove avviene una sistematica condivisione di informazioni e punti di vista, elemento considerato essenziale per la sicurezza dell’intero settore.
Il ruolo centrale del Security Operations Center (SOC)
Il secondo punto cardine riguarda il potenziamento del SOC, che Piret definisce come l’organo che deve ricevere il “giusto potere” per le attività di detection e risposta. Nella gestione incidenti cyber, la velocità è tutto: il SOC deve essere il primo soggetto a ricevere l’allerta per poter intervenire tempestivamente e «ridurre al massimo i tempi di reazione agli incidenti». Senza una capacità di rilevamento immediata, il rischio di un’escalation che porti alla paralisi operativa diventa critico.
La cultura dell’esercitazione costante
Infine, Piret ha posto l’accento sulla necessità delle esercitazioni. L’implementazione dei processi, la condivisione delle informazioni e la definizione di una strategia restano esercizi teorici se non supportati dalla pratica. «Nel caso di un incidente, se non ci siamo esercitati, non sappiamo come gestirlo», ha ammonito Piret, ricordando che ogni evento critico presenta peculiarità diverse e mette l’organizzazione davanti a difficoltà impreviste che richiedono una prontezza operativa acquisibile solo tramite simulazioni costanti.
La gestione della reputazione e il fattore esterno
Un aspetto peculiare emerso durante il confronto riguarda la percezione pubblica della sicurezza aeroportuale, che spesso prescinde dalle responsabilità dirette del team IT.
Piret ha confermato questa dinamica, notando come l’aeroporto risulti «sempre al primo posto» nella percezione mediatica dei disservizi. Questo sottolinea come la gestione incidenti cyber debba tenere conto anche della gestione dell’ecosistema allargato, poiché la reputazione dello scalo è legata a eventi che possono verificarsi anche al di fuori del perimetro d’azione diretto della società di gestione. La resilienza, dunque, non si misura solo sulla capacità di respingere un attacco hacker, ma anche sulla rapidità nel gestire la comunicazione e l’impatto di qualsiasi evento che mini la continuità dei servizi per i 100.000 passeggeri quotidiani.
FAQ: Cybercrime
Cosa si intende per cybercrime?
Il cybercrime comprende una vasta serie di reati informatici che vanno dallo sviluppo di virus allo spionaggio industriale, dal furto di identità al ransomware (malware che limita gli accessi ai dispositivi, prendendo “in ostaggio” i dati aziendali fino al pagamento di un riscatto). Si tratta di una materia in continua evoluzione, che implica una costante rincorsa tra attaccanti e difensori e richiede massimo impegno alle organizzazioni per implementare contromisure efficaci.
Quali sono le principali tipologie di gruppi hacker?
Secondo uno studio Trend Micro, i gruppi hacker sono organizzati in tre principali tipologie in base alle dimensioni: 1) Piccole organizzazioni con un livello di management, 1-5 membri e meno di $500.000 di fatturato annuo; 2) Medie organizzazioni con due livelli di management, 6-49 membri e fino a 50 milioni di dollari di fatturato; 3) Grandi organizzazioni con tre livelli di management, oltre 50 dipendenti e più di 50 milioni di dollari di fatturato annuo. Questi gruppi criminali sono sempre più simili ad aziende vere e proprie, con strutture gerarchiche, divisioni di compiti e persino programmi per dipendenti.
Come sta evolvendo il malware con l’intelligenza artificiale?
Il malware potenziato da intelligenza artificiale rappresenta la nuova frontiera del cybercrime. Questa tecnologia permette agli attaccanti di creare minacce capaci di apprendere, adattarsi e mimetizzarsi, sfuggendo alle difese tradizionali. Gli hacker utilizzano l’AI principalmente come strumento di produttività per rendere i loro attacchi più efficaci, migliorando la qualità delle email di phishing e creando deepfake per gli attacchi di social engineering. Sebbene non siano ancora emerse tecniche d’attacco basate esclusivamente sull’AI, ci si aspetta una crescente fase di sperimentazione da parte dei criminali informatici nel prossimo futuro.
Qual è l’impatto economico del cybercrime a livello globale?
L’impatto economico del cybercrime è enorme e in continua crescita. Secondo dati presentati da Microsoft, le perdite previste dal cybercrime arriveranno a 10,5 trilioni di dollari nel 2025, un “mercato” che vale molto più del traffico globale di droga. Questo sottrae risorse significative che potrebbero essere utilizzate per innovazione e competitività. Il ransomware, in particolare, se fosse un paese avrebbe il terzo PIL più grande a livello globale, con un incremento del 15% che supererebbe persino la crescita economica cinese. Questo ecosistema criminale da 8 trilioni di dollari rappresenta una rete complessa di attori, initial access brokers e affiliati che coordinano i loro sforzi per compromettere infrastrutture cloud e on-premises.
Come è cambiata la situazione degli attacchi informatici negli ultimi anni?
Secondo il Rapporto Clusit 2025, gli attacchi informatici sono aumentati del 27,4% a livello globale rispetto all’anno precedente, con una media mensile salita a 295 attacchi contro i 232 del 2023 e i 139 del 2019. Il cybercrime si conferma la principale motivazione dietro gli attacchi (86%), mentre crescono anche le offensive legate ad attivismo (+16%) e disinformazione, probabilmente a causa delle tensioni geopolitiche. I principali settori colpiti sono stati Obiettivi Multipli (18%), Settore Governativo/Militare (13%) e Sanità (13%). L’Europa e l’America concentrano il 65% degli attacchi globali, con l’Europa (30%) che si sta avvicinando ai livelli americani (35%).
Qual è la situazione dell’Italia rispetto agli attacchi informatici?
L’Italia si trova in una posizione particolarmente vulnerabile agli attacchi informatici. Secondo il Rapporto Clusit 2025, nel nostro paese gli incidenti cyber sono cresciuti del 15,2% rispetto al 2023, con un’incidenza globale del 10,1%. Il dato più preoccupante è che, nonostante rappresenti solo lo 0,7% della popolazione mondiale e l’1,8% del PIL globale, l’Italia subisce il 10% degli attacchi informatici globali, una quota sproporzionata rispetto ad altri paesi europei come Francia (4%) e Germania (3%). Il settore manifatturiero italiano è particolarmente vulnerabile, con un quarto degli attacchi globali in questo settore che colpisce realtà italiane. Stesso discorso per i trasporti e la logistica, dove un quarto degli attacchi mondiali ha coinvolto aziende italiane.
Quali sono le principali tecniche di attacco utilizzate dai cybercriminali?
Le principali tecniche di attacco utilizzate dai cybercriminali includono il malware (che ha causato il 38% degli incidenti in Italia), seguito dagli attacchi DDoS (21%), dalle vulnerabilità (19%) e dal phishing/social engineering (11%), secondo il Rapporto Clusit 2025. Il ransomware continua a essere il metodo più utilizzato, pari all’81% di tutti gli attacchi malware. Le tecniche multiple si confermano le più pericolose, riflettendo la gravità degli attacchi combinati. L’aumento di phishing e social engineering conferma come il fattore umano resti uno degli anelli deboli nella sicurezza informatica, mentre le vulnerabilità zero-day permettono ai cybercriminali di colpire i sistemi prima che possano essere aggiornati o messi in sicurezza.
Come si stanno evolvendo le minacce informatiche con l’uso dell’AI?
L’evoluzione delle minacce informatiche con l’uso dell’AI sta portando a nuovi rischi per la sicurezza. I deepfake stanno diventando sempre più sofisticati, permettendo agli hacker di imitare voce, stile di scrittura e personalità delle persone per creare “gemelli digitali cattivi” che ingannano le vittime. Questo rende possibile generare falsi dipendenti per attacchi di Business Email Compromise (BEC) e sfruttare dati biometrici esposti involontariamente. I sistemi di intelligenza artificiale stessi possono essere manipolati per compiere azioni dannose e creare phishing personalizzato, aumentando l’efficienza del crimine informatico. Se l’AI dovesse iniziare a operare autonomamente su strumenti aziendali, si genererebbero sequenze di azioni non facilmente rilevabili, rendendo più complicato controllare le operazioni in tempo reale.
Quali sono le sfide di genere nel settore della cybersecurity?
Nel settore della cybersecurity esiste un significativo gender gap. Secondo uno studio di Trend Micro, paradossalmente, il mondo della criminalità informatica sembra essere più meritocratico di quello della sicurezza legittima: almeno il 30% degli utenti dei forum di cybercriminalità sono donne, mentre su piattaforme professionali come Stack Overflow solo il 12% dei visitatori è di sesso femminile. In Italia, l’associazione “Woman for Security” ha tracciato un identikit della professionista della cybersecurity: la maggior parte sono laureate (55%) con specifica formazione post-laurea (31%), lavorano principalmente nell’ambito tecnico (44%), ma solo il 39% riceve una retribuzione pari a quella dei colleghi uomini. Per il 48% delle professioniste, la conciliazione tra lavoro e famiglia risulta più problematica rispetto ai colleghi uomini.
Quali sono le principali sfide per il settore finanziario contro il cybercrime?
Il settore finanziario affronta sfide specifiche contro il cybercrime, essendo un bersaglio prediletto per i criminali informatici. Secondo il Cost of a Data Breach report di IBM, l’industria dei financial services registra un costo medio di 5,72 milioni di dollari per ogni violazione dei dati. Le principali minacce includono la sottrazione delle credenziali di accesso e dispositive, il furto dei dati delle carte di credito e la sostituzione fraudolenta dei dati di pagamento. Una peculiarità del settore è che gli attacchi prendono di mira non solo i sistemi e i dipendenti dell’azienda, ma anche i clienti della banca, che spesso hanno un’awareness inferiore. I vettori di attacco principali sono malware, phishing potenziato da social engineering e frodi dispositive. Per proteggersi, oltre alle misure tecniche, è fondamentale l’awareness sia dei dipendenti che dei clienti, con formazione interattiva e coinvolgente.
