Nel panorama della cybersecurity, il settore manifatturiero è tornato ad occupare una posizione critica. I dati più recenti presentati da Lorenzo Ivaldi, docente dell’Università di Genova e membro del Clusit, mostrano un quadro preoccupante per il 2025: il comparto industriale registra già 213 attacchi solo nel primo semestre, a fronte dei 236 rilevati nell’intero 2024 . Numeri che segnalano un’impennata significativa e la conferma che la manifattura è di nuovo nel mirino dei cybercriminali.
Secondo Ivaldi, la crescita non è episodica ma strutturale: il crimine informatico ha spostato il suo focus dalle infrastrutture istituzionali al cuore produttivo delle economie europee. L’obiettivo è chiaro: interrompere la continuità operativa, estorcere denaro e colpire le filiere più interconnesse.
Indice degli argomenti
Il dominio del cybercrime e il declino dell’attivismo digitale
Il Rapporto Clusit 2025 rivela che la quasi totalità degli attacchi al settore manifatturiero proviene da cybercriminali organizzati, mentre l’attivismo politico-digitale, legato in passato alle tensioni geopolitiche, è in forte ritirata. «Quest’anno gli attaccanti quasi solamente cybercrime», afferma Ivaldi. Le finalità restano perlopiù estorsive, con ransomware e malware in testa alle tecniche più diffuse.
Il fenomeno ha assunto dimensioni tali da generare una crescita quasi “industriale” del ransomware: in un passaggio eloquente, Ivaldi cita il rapporto Dagos, che stima un incremento dal 50 all’80% anno su anno.
La tendenza conferma che il ransomware non è più confinato ai computer amministrativi, ma si infiltra sempre più spesso nelle linee di produzione, causando fermi macchina e danni operativi diretti. In molti casi, il punto d’ingresso rimane un sistema IT periferico, ma l’effetto si propaga rapidamente agli ambienti OT (Operational Technology), dove la vulnerabilità delle infrastrutture produttive diventa il vero tallone d’Achille.
Dalla vulnerabilità umana alle falle tecniche
La ricerca individua due fronti critici: la scarsa formazione del personale e la gestione inadeguata delle vulnerabilità note.
«La maggior parte delle persone non è stata ancora formata a sufficienza per riconoscere il malware», spiega Ivaldi. A ciò si aggiunge il problema delle patch non applicate: un difetto tanto ricorrente quanto evitabile.
Nel contesto globale, molte imprese subiscono ancora attacchi sfruttando falle note e già correggibili, ma che restano aperte per mancanza di risorse o priorità errate.
L’Italia, in questo scenario, mostra un leggero miglioramento: le vulnerabilità non patchate scendono dal 20% al 3%, segno di una consapevolezza crescente rispetto alla media mondiale. Tuttavia, i “zero-day”, ossia le falle sconosciute e non ancora corrette, continuano a rappresentare una minaccia seria anche nel contesto nazionale .
Ivaldi sottolinea come la mancanza di tempo e di risorse umane resti uno degli ostacoli principali alla messa in sicurezza dei sistemi: la gestione dei patching e delle configurazioni di sicurezza continua a essere sacrificata in favore dell’operatività immediata. Il risultato è una superficie d’attacco estesa e sfruttabile.
L’Europa al centro del mirino
Sul piano geografico, l’Europa resta il principale bersaglio degli attacchi informatici nel 2025. Dopo alcuni anni di calo, anche gli Stati Uniti e le Americhe tornano a crescere in termini di incidenti segnalati. L’Asia, invece, presenta un dato apparentemente più contenuto, ma Ivaldi avverte: la sottostima dei casi potrebbe derivare da una scarsa trasparenza nella divulgazione degli incidenti.
«In Asia la manifattura è estremamente presente, ma non ha ancora gli impatti che ci potremmo aspettare. Probabilmente non dichiara tutte le problematiche che ha», afferma il docente.
Questa opacità statistica rischia di alterare la percezione reale del rischio globale. In un contesto produttivo fortemente interconnesso, gli attacchi in un Paese possono avere effetti domino su intere catene di approvvigionamento internazionali.
Impatti crescenti e interruzioni operative
Un altro dato cruciale evidenziato nel rapporto riguarda la gravità crescente degli attacchi. Se la quota di incidenti a impatto “medio” è diminuita, quelli critici – capaci di bloccare le linee produttive – sono in forte aumento.
Gli attacchi ad alta criticità non si limitano a compromettere la sicurezza dei dati, ma interrompono la produzione, generando perdite economiche dirette e danni reputazionali. Il ritorno del ransomware in ambito industriale evidenzia quanto sia fragile la convergenza tra IT e OT: sistemi progettati per la continuità operativa ora si trovano esposti a minacce pensate per sfruttare la connessione digitale.
Le responsabilità dei vertici e la spinta normativa
Un cambiamento significativo che emerge dai dati è la crescente responsabilità attribuita ai consigli di amministrazione.
«La consapevolezza informatica dei board è ritornata in auge grazie alla NIS2», osserva Ivaldi, riferendosi alla nuova direttiva europea che impone obblighi diretti di vigilanza e supervisione sulla sicurezza informatica.
In passato, la colpa di una violazione era spesso scaricata sui reparti IT; oggi la normativa riconosce che la cybersecurity è una questione di governance, non solo di tecnologia. La protezione dell’identità digitale e la gestione sicura degli accessi, in particolare nei contesti industriali distribuiti, diventano priorità imprescindibili.
Il ruolo delle persone: il fattore umano come barriera e vulnerabilità
Il dibattito sollevato da Ivaldi mette in luce un tema trasversale: l’importanza della formazione del personale.
Le tecnologie di difesa, pur sofisticate, non possono compensare la carenza di competenze. L’errore umano continua a essere la principale causa di successo di un attacco, e la mancanza di cultura cyber nelle funzioni operative amplifica il rischio.
«Non dobbiamo solo basarci sugli strumenti», ammonisce Ivaldi. «Non è che andando in cloud posso licenziare l’IT locale: devo investire in persone più skillate, poi pensare agli strumenti» .
La riflessione tocca un punto nevralgico: la transizione digitale nel manifatturiero richiede nuove professionalità, capaci di coniugare competenze operative e cyber. Non si tratta solo di proteggere i dati, ma di garantire la continuità di impianti e processi, dove ogni vulnerabilità può tradursi in un fermo produttivo.
Dal rischio alla resilienza: la lezione del Rapporto Clusit
Il settore manifatturiero, spinto dalla digitalizzazione e dall’integrazione di sistemi connessi, è diventato terreno fertile per gli attacchi informatici.
La fotografia offerta da Lorenzo Ivaldi non è solo un’analisi statistica, ma un avvertimento: la sicurezza industriale non può più essere considerata un tema tecnico o accessorio.
Il malware resta la principale causa di compromissione, seguito dai ransomware e dalle vulnerabilità non patchate. Gli attacchi critici aumentano, le supply chain globali amplificano gli effetti e le imprese devono misurarsi con nuove responsabilità normative e gestionali.
L’evidenza è chiara: la resilienza digitale del settore passa dalla capacità di unire governance, tecnologia e competenze umane.
Le aziende che hanno compreso questa interdipendenza sono già un passo avanti; per le altre, il tempo per intervenire si sta rapidamente esaurendo.
