Sicurezza IT-OT: come ottenerla?

• 
• Tweet
• Pin It
• Condividi per email

Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte.

A fronte di questi attacchi, quali secondo voi sono agli aspetti chiave che un’azienda deve tenere in considerazione per mettere in sicurezza le proprie reti IT-OT?

Flavio Renaldini, training manager di B&R Automazione Industriale:

“Quando si parla di proteggere le reti IT-OT da cyber attacchi, ci sono alcuni aspetti fondamentali che un’azienda deve assolutamente considerare. Il primo aspetto, cruciale, è la segmentazione e l’isolamento delle reti. In pratica, significa tenere separate le reti IT, quelle che vengono usate per email, Internet, applicazioni gestionali, dalle reti OT, che controllano i processi industriali veri e propri, ovvero gli impianti di produzione, i sistemi di automazione e tutto ciò che fa funzionare fisicamente una fabbrica.

Le reti IT sono naturalmente più esposte a Internet, e quindi più vulnerabili agli attacchi: se un hacker riesce a entrare nella rete IT attraverso un’email di phishing o un malware, non deve poter arrivare automaticamente anche ai sistemi che controllano la produzione. La segmentazione crea delle barriere, come le porte tagliafuoco in un edificio, che impediscono al fuoco di propagarsi da una stanza all’altra. Questa viene implementata attraverso firewall industriali, zone di sicurezza intermedie, chiamate DMZ, per i sistemi che devono comunicare con entrambe le reti, e politiche molto rigide su cosa può passare da una rete all’altra. Al fine di garantire una sicurezza migliore, tutto il traffico tra le reti deve essere monitorato costantemente.

Il secondo aspetto riguarda la gestione degli accessi e l’autenticazione. Qui si tratta di controllare rigorosamente chi può accedere a cosa, specialmente nei sistemi OT, dove un accesso non autorizzato non significa solo perdita di dati, ma può causare danni fisici reali, o fermare completamente la produzione. Molti attacchi informatici hanno successo semplicemente perché qualcuno ha rubato delle credenziali, o perché un utente aveva più privilegi di quelli che gli servivano realmente.

La soluzione passa attraverso l’autenticazione multi-fattore, in cui non basta più solo la password, ma serve anche un secondo fattore identificativo, come un codice OTP (One Time Password), che arriva tramite messaggio sul telefono, e l’applicazione rigorosa del principio del ‘minimo privilegio necessario’, ovvero ogni persona deve avere accesso solo a ciò che gli serve per fare il suo lavoro, niente di più. Al fine di garantire un alto livello di sicurezza è necessario gestire centralmente tutte le identità e gli accessi, monitorare chi accede a cosa, e quando, e soprattutto essere veloci nel rimuovere gli accessi, quando qualcuno cambia ruolo o lascia l’azienda.

Il terzo aspetto è la formazione continua del personale e la creazione di una vera cultura della sicurezza, soprattutto negli ambienti OT, dove gli operatori sanno far funzionare macchine e processi, ma potrebbero non avere la stessa consapevolezza dei rischi cyber che hanno i colleghi dell’IT. Non basta installare i migliori sistemi di sicurezza del mondo, se poi un operatore inserisce una chiavetta USB, trovata nel parcheggio, in un computer che controlla la produzione, o clicca su un link di phishing pensando che sia una comunicazione legittima. Per questo motivo servono training obbligatori per tutto il personale, simulazioni periodiche di attacchi phishing per testare quanto le persone sono preparate, procedure chiare su come segnalare comportamenti sospetti, e una sensibilizzazione specifica per chi lavora in OT sui rischi particolari di quell’ambiente. L’obiettivo è creare una cultura dove la sicurezza non è ‘un problema dell’IT’, ma è responsabilità di tutti, ogni giorno”.

Andrea Ferrazzi, cybersecurity business unit director di Relatech:

“Se dovessimo sintetizzare in tre priorità strategiche, indicheremmo come primi elementi visibilità e consapevolezza del rischio: non si può proteggere ciò che non si conosce. È fondamentale avere una mappatura chiara di asset, protocolli industriali, configurazioni PLC e interconnessioni IT/OT. Quindi sono cruciali la segmentazione e il controllo degli accessi (zero trust), in quanto negli ambienti industriali, ogni utente, dispositivo o sistema, inclusi gli accessi remoti e le macchine interconnesse, deve essere autenticato, autorizzato e monitorato continuamente.

La segmentazione delle reti OT e la microsegmentazione sono elementi essenziali. Infine, vengono monitoraggio continuo e capacità di risposta: la difesa non può essere statica. Servono sistemi in grado di rilevare anomalie nei pattern di comunicazione industriale e servizi di SOC capaci di anticipare e identificare le minacce agli impianti produttivi”.

Francesco Tieghi, responsabile marketing e comunicazione in ServiTecno:

“La convergenza IT-OT impone una visione unitaria del rischio: non basta proteggere l’IT, occorre mappare asset, vulnerabilità e interdipendenze dei sistemi di produzione, adottando segmentazione di rete, controllo degli accessi e monitoraggio continuo. È necessaria quindi un’Integrazione tra IT e OT che segue un approccio risk-based.

Poi occorre mettere la continuità operativa come priorità strategica. Nel manifatturiero e nei contesti infrastrutturali, la continuità del processo è fondamentale, un fermo impianto può generare danni economici e reputazionali enormi.

La sicurezza deve quindi essere progettata per garantire resilienza: ridondanze, backup strutturati, soluzioni di disaster recovery e procedure di ripristino testate periodicamente. Infine, bisogna investire in governance, competenze e procedure.

Tecnologia e processi devono essere accompagnati da formazione del personale, policy chiare e responsabilità definite, perché la sicurezza industriale è anche cultura organizzativa: gestione degli accessi di terze parti, controllo della supply chain e piani di risposta agli incidenti devono essere formalizzati e verificati nel tempo”.

Marco Fanuli, technical director di TrendAI, business unit di Trend Micro:

“Il primo aspetto critico riguarda la segmentazione intelligente della rete, che oggi definiamo zero-trust per gli ambienti OT. È fondamentale, inoltre, utilizzare appliance di sicurezza che supportano protocolli industriali come Modbus, Profibus ed Ethercat, per rilevare comportamenti anomali nei comandi Scada e pattern di comunicazione insoliti.

Il secondo aspetto riguarda la visibilità e la gestione completa degli asset: occorre utilizzare strumenti in grado di identificare tutti i dispositivi industriali e le vulnerabilità note non patch abili. Una tecnologia come il Crem-Cyber risk exposure management di TrendAI, correla tali vulnerabilità con l’impatto sul business, così da identificare le azioni di remediation da prioritizzare.

Infine, troviamo il rilevamento e la risposta rapidi grazie all’XDR-Extended detection and response, in ambienti eterogenei. Gli attacchi industriali attraversano più layer e solo una correlazione con una visione più ampia (endpoint, rete, cloud, email ecc.) può consentire di rilevare in modo efficace comportamenti anomali”.

Andrea Fiorina, system consultant di SEW-Eurodrive Italia:

“Quanto al rischio cyber, lavorando in stretta sinergia con la casa madre, riteniamo si debba porre attenzione a tre aspetti. Innanzitutto, la segmentazione e la segregazione delle reti per ambito funzionale, autorizzando alle comunicazioni tra plant produttivo, impianti e livelli superiori solo alcuni utenti e solo su alcuni servizi.

I firewall fisici separano e selezionano le comunicazioni e fanno passare solo servizi e utenti noti, in base a regole ben precise.

In secondo luogo, applichiamo una politica zero-trust: firewall fisici tra le varie reti applicano regole di comunicazione mirate ai servizi noti e alle necessità note.

L’obiettivo è minimizzare la superficie di attacco: certamente l’applicazione di tutte queste regole implica un enorme lavoro, ma è l’unica via percorribile per garantire la sicurezza dei dati. Infine, applichiamo il logging obbligatorio degli utenti, eliminando totalmente gli accessi anonimi, permettendo solo comunicazioni sicure basate su certificati, e garantendo la tracciabilità degli utenti che entrano nella rete comunicativa.

Si tratta quindi di aspetti che riguardano principalmente il livello di infrastruttura IT, mentre l’elemento più pertinente a livello OT è certamente il logging degli utenti: stiamo lavorando per avere solo utenti autorizzati con credenziali a entrare sia negli inverter che nei PLC, cercando di profilarli e tracciarne le attività”.

Alberto Ascoli, product manager, automation & electrification di Bosch Rexroth:

“Di fronte a un’ondata di attacchi informatici sempre più mirati al settore manifatturiero, il cui costo per le aziende è in costante aumento, la prassi di aggiungere strati di protezione a posteriori si rivela fragile e onerosa. La convergenza tra IT e OT, cuore della ‘fabbrica intelligente’, non può più basarsi su sistemi ‘rattoppati’. La risposta risiede in un cambio di paradigma: abbracciare tecnologie nate per essere sicure, secondo il principio ‘secure-by-design’. Un approccio che piattaforme come ctrlX Automation hanno reso il proprio standard, offrendo uno scudo olistico nativo.

Questo si fonda su tre pilastri; innanzitutto, un nucleo protetto, ovvero un sistema operativo ‘hardened’, che riduce al minimo la superficie d’attacco e accetta solo software autentico. Segue un ecosistema controllato, dove un modello ad app permette l’installazione di sole applicazioni firmate digitalmente, bloccando alla radice il malware.

Infine, una gestione centralizzata degli accessi che, integrandosi con le directory aziendali, estende le policy di sicurezza IT fino al bordo macchina, in modo coerente e automatico. Scegliere questa strada significa ridurre drasticamente la complessità, abbattere il costo totale di proprietà della sicurezza e trasformare la resilienza in un vantaggio strategico, permettendo di innovare più velocemente con una spina dorsale produttiva intrinsecamente sicura”.

Alberto Griffini, product manager modular PLC di Mitsubishi Electric:

“Nel contesto della cybersecurity industriale, una protezione efficace delle reti IT-OT richiede un approccio strutturato e multilivello, spesso indicato come ‘defense in depth’. In questo senso è possibile individuare tre ambiti principali di intervento: dispositivo, sistema e organizzazione aziendale.

Il primo livello riguarda il prodotto o device industriale, come PLC, controller, inverter e altri componenti di automazione. Oggi questi elementi devono integrare fin dalla progettazione caratteristiche di sicurezza, come protocolli di comunicazione protetti, gestione sicura dei certificati digitali, autenticazione degli accessi e capacità di logging delle attività.

Il secondo livello è rappresentato dal sistema di automazione nel suo complesso. Anche quando i singoli dispositivi sono sicuri, è fondamentale progettare correttamente l’architettura della rete industriale. Ciò implica l’adozione di pratiche come la segmentazione delle reti IT e OT, l’utilizzo di switch e router con funzionalità di firewall industriale, e l’implementazione di sistemi di monitoraggio e rilevamento delle intrusioni. In altre parole, la sicurezza deve essere integrata nell’intera architettura dell’impianto, non limitata ai singoli componenti.

Il terzo aspetto riguarda l’organizzazione aziendale: la cybersecurity non è esclusivamente un tema tecnologico, ma coinvolge anche processi, competenze e consapevolezza interna. Molti attacchi informatici, infatti, continuano a sfruttare le vulnerabilità legate al fattore umano o ai sistemi IT aziendali, come email di phishing o accessi non protetti ai server.

Per questo motivo le aziende devono investire in formazione del personale, politiche di sicurezza e procedure di gestione del rischio, coinvolgendo spesso le strutture IT e i responsabili della sicurezza informatica.

Solo la combinazione di questi tre livelli – prodotto, sistema e organizzazione – consente di costruire un ecosistema industriale realmente protetto. La sicurezza non può essere garantita da una singola tecnologia certificata, ma deve essere il risultato di un approccio sistemico, che coinvolge l’intero ciclo di vita dell’impianto industriale”.

Andrea Lasagna, head of security di Fastweb+Vodafone:

“Quando parliamo di protezione delle reti aziendali, ci troviamo di fronte a un ecosistema sempre più complesso, dove i tradizionali confini tra sistemi informatici IT e sistemi operativi industriali OT si stanno progressivamente dissolvendo. Inoltre, si assiste a uno spostamento verso il cloud di molte funzionalità e architetture, con l’adozione di soluzioni cloud-native o quantomeno con approccio lift&shift. Questa convergenza, pur offrendo enormi opportunità di efficienza e innovazione, crea nuove superfici di attacco, che richiedono un’architettura di rete progettata con ridondanze multiple, segmentazione intelligente e sistemi di monitoraggio continuo. Ogni organizzazione ha una superficie di attacco unica, determinata dalla sua infrastruttura IT, dai processi aziendali e dal comportamento dei dipendenti. La risposta e la difesa devono essere altrettanto personalizzate.

Il primo aspetto cruciale, che un’azienda deve tenere in considerazione, è l’implementazione di una segmentazione di rete intelligente, creando un sistema di controlli granulari, che permettano la comunicazione necessaria al business, mantenendo al contempo l’isolamento delle funzioni critiche. Il secondo luogo, è necessario avere una visibilità totale su tutto ciò che accade nella rete, lato sia IT che OT, evitando zone ‘cieche’, che rappresentano un rischio inaccettabile nel panorama delle minacce attuali. L’intelligenza artificiale e il machine learning giocano qui un ruolo cruciale, permettendo di identificare anomalie comportamentali che potrebbero sfuggire all’analisi umana. Un sistema di controllo industriale che improvvisamente inizia a comunicare con server esterni, o che modifica i suoi pattern di comunicazione interna, deve essere immediatamente segnalato e investigato, anche se tecnicamente sta operando entro i parametri normali.

Il terzo aspetto chiave è lo sviluppo di una strategia integrata di gestione delle vulnerabilità, che tenga conto delle specificità degli ambienti OT, dove l’aggiornamento dei sistemi non può seguire le stesse tempistiche e modalità dell’IT tradizionale. È essenziale sviluppare piani di risposta agli incidenti specificamente progettati per gli ambienti convergenti IT-OT, che devono considerare la necessità di contenere l’attacco informatico e di mantenere la continuità operativa e la sicurezza fisica. Questo perché la vera forza di una rete moderna non sta solo nella sua capacità di prevenire gli attacchi, ma nella sua resilienza, ossia nella capacità di continuare a funzionare anche sotto attacco, e di recuperare rapidamente da eventuali compromissioni”.

Antonio Burinato, general manager di Innovaway:

“Per un system integrator come Innovaway, mettere in sicurezza una rete industriale significa prima di tutto comprendere a fondo l’ambiente OT in cui si opera. PLC, scada, HMI e protocolli fieldbus, come Profibus o Ethernet/IP, seguono logiche e presentano vincoli molto diversi rispetto all’IT tradizionale, anche se la convergenza tra questi due mondi è oggi sempre più marcata e inevitabile. Ma proprio questa convergenza, se da un lato apre opportunità di efficienza, dall’altro amplia la superficie d’attacco in modo significativo.

Il primo aspetto imprescindibile è, quindi, la visibilità completa dell’ambiente OT: non si può proteggere ciò che non si conosce. Questo significa mappare in modo puntuale asset, flussi di comunicazione e vulnerabilità, compresi i sistemi legacy che, per natura o vincoli operativi, non possono essere aggiornati o sottoposti ad applicazione di patch di sicurezza. Senza questa fotografia iniziale, qualsiasi strategia di sicurezza rischia di essere parziale e fallace. Il secondo pilastro è la segmentazione della rete IT-OT. La citata integrazione crescente tra sistemi gestionali e di controllo industriale ha moltiplicato i punti di contatto tra reti un tempo separate, aprendo nuove porte agli attaccanti.

Definire confini chiari tra questi ambienti – attraverso architetture a zone presidiate da firewall industriali dedicati – consente di limitare la propagazione degli attacchi e proteggere i sistemi più critici, senza sacrificare continuità produttiva ed efficienza operativa. La governance della supply chain è il terzo step. I fornitori di macchine e componenti rappresentano spesso il vettore d’attacco più insidioso e meno presidiato. Infatti, normative come NIS2 e lo standard IEC 62443 impongono attualmente di estendere i controlli di sicurezza all’intero ecosistema, valutando il rischio cyber di ciascun fornitore attraverso strumenti automatizzati e processi strutturati di valutazione delle terze parti”.

Cristina Mariano, country manager di Advens Italia:

“Con la crescente connettività dei sistemi industriali a Internet e cloud, che deriva dall’evoluzione verso Industria 4.0/5.0, è fondamentale implementare policy rigorose di controllo degli accessi. Bisogna definire e filtrare con attenzione i trasferimenti dati tra ambienti IT e OT per impedire agli attaccanti di usare le reti aziendali come ponte verso la produzione.

Occorre inoltre implementare appliance di rete specializzate, come per esempio quelle di Nozomi Networks, per monitorare il traffico. Questi strumenti analizzano il comportamento della rete e rilevano attività o flussi anomali che la sicurezza IT standard non sarebbe in grado di intercettare. Infine, la sicurezza va integrata nel ciclo di vita dei sistemi industriali fin dall’inizio, dalla costruzione di nuove fabbriche all’integrazione di nuove aziende. E serve un piano di awareness specializzato, che non si limiti alla terminologia IT, ma parli il linguaggio del reparto produttivo (PLC, ICS), in modo che il personale possa sempre prendere decisioni informate in uno scenario crisi, scollegando, per esempio, un sistema anziché spegnerlo completamente”.

Paolo Mura, team leader sales engineer di Axis Communications:

“Gli aspetti da considerare prioritari sono tre, soprattutto nel caso di device IoT esposti sul campo, spesso distribuiti su stabilimenti grandi o multisito; in primo luogo, la security-by-design dell’hardware e del software: la sicurezza non può essere aggiunta in un secondo momento, bensì va progettata. Lavorare con chi segue un modello strutturato è fondamentale, perché definisce come vengono sviluppate funzioni di sicurezza, crittografia, logging, gestione delle chiavi e monitoraggio. Asdm-Axis Security Development Model, per esempio, è un framework che dettaglia il processo e gli strumenti utilizzati da Axis per sviluppare software con sicurezza integrata durante tutto il ciclo di vita, dall’ideazione alla dismissione. Inoltre, è importante avvalersi di una piattaforma di sicurezza informatica basata su hardware, come Axis Edge Vault, che protegge i dispositivi Axis, permette l’uso di una solida base di moduli di elaborazione crittografica (secure element, TPM) e SoC security (tra cui TEE, secure boot, signed firmware e Axis Device ID), combinata con competenze specifiche nella sicurezza dei dispositivi edge.

Il secondo elemento è la gestione rigorosa delle identità e dei permessi: in ambienti IT-OT, il controllo degli accessi è spesso il punto più fragile. Bisogna dunque pensare ad autenticazioni robuste (preferibilmente multifattoriali), separazione dei ruoli (evitando credenziali ‘amministratore per tutti’), tracciabilità delle azioni. Questo significa poter assegnare permessi granulari a tecnici diversi, limitando ciò che possono fare e riducendo il rischio di uso improprio, volontario o meno. In aggiunta, la possibilità di verificare l’origine del dispositivo è fondamentale per stabilire la fiducia nell’identità del dispositivo.

Durante la produzione, ai dispositivi con Axis Edge Vault viene assegnato un certificato ID dispositivo Axis unico, fornito dalla fabbrica e conforme allo standard Ieee 802.1AR. Questo funziona come un passaporto per dimostrare l’origine del dispositivo. L’ID dello stesso viene memorizzato in modo sicuro e permanente nell’archivio delle chiavi, protetto come certificato firmato dall’Axis root certificate. L’ID del dispositivo può essere utilizzato dall’infrastruttura IT del cliente per l’onboarding automatico e sicuro dei dispositivi e per l’identificazione sicura dei dispositivi.

Il terzo aspetto riguarda la possibilità di aggiornare in modo centralizzato e scalabile: un dispositivo non aggiornato è senza dubbio vulnerabile. Per aziende che gestiscono centinaia o migliaia di sensori distribuiti (telecamere di rete, radar, sistemi di controllo accessi, dispositivi audio), aggiornare in modo puntuale ogni singolo dispositivo è impossibile, per cui è fondamentale utilizzare strumenti di gestione centralizzata che permettono di applicare patch, certificati di sicurezza e configurazioni coerenti su larga scala e multisito, riducendo drasticamente tempi di fermo e soprattutto la superficie d’attacco”.

Matteo Uva, alliance & business development director di Fortinet:

“La protezione di ambienti IT-OT convergenti implica la gestione di due domini con priorità diverse: l’IT è orientato alla protezione del dato, l’OT è focalizzato sulla continuità operativa e del business dell’azienda. Per questo motivo, le organizzazioni devono concentrarsi su tre direttrici principali in termini di difesa. Prima di tutto visibilità completa e segmentazione della rete: in molti contesti OT non esiste piena consapevolezza degli asset presenti, che diventano così anelli deboli sfruttabili dagli attaccanti. È quindi fondamentale disporre di una visibilità completa degli asset, dei flussi di comunicazione e delle dipendenze tra sistemi IT e OT.

Inoltre, le reti IT-OT richiedono strumenti di detection specifici, capaci di comprendere protocolli industriali e individuare comportamenti anomali. La sola prevenzione non è sufficiente: è necessario un monitoraggio continuo, con capacità di threat detection e risposta tempestiva. In questo contesto, Fortinet propone soluzioni di SOC-Security Operations Center ibride, in grado di proteggere ambienti IT e OT da un’unica console di gestione. L’obiettivo è mettere in sicurezza l’ecosistema come un ambiente eterogeneo ma integrato, semplificando l’implementazione e la gestione delle policy e aumentando l’efficacia operativa.

Infine, molti incidenti non derivano da carenze tecnologiche, ma da silos organizzativi. La sicurezza IT-OT è anche un tema di governance: servono policy condivise tra i due ambienti, una gestione strutturata delle vulnerabilità, il controllo degli accessi privilegiati e piani di patching compatibili con le esigenze operative. L’integrazione tra competenze IT e OT è determinante per evitare zone grigie in cui gli attaccanti si possono introdurre. In sintesi, la sicurezza IT-OT non si ottiene ampliando il numero degli strumenti, ma costruendo un’architettura resiliente basata su visibilità degli asset, segmentazione e una risposta coordinata a eventuali minacce”.

Dario Schiraldi, channel account executive Italia di Genetec:

“La principale superficie d’attacco per i cybercriminali è l’identità, ovvero le persone e le loro identità digitali.

Le azioni più diffuse da realizzare o realizzate per minimizzare il successo di eventuali attacchi cyber sono: formazione degli utenti di sistema, ottimizzazione di permessi/privilegi, hardening dell’infrastruttura e protezione dagli accessi non autorizzati, che sono la base per il multi‑factor authentication, least privilege e rimozione degli account duplicati, inattivi o cessati.

Creare zone di sicurezza tra IT e OT è poi cruciale per evitare che un attacco informatico possa diffondersi tra i reparti e, per esempio, bloccare l’azienda nella sua interezza. Non da meno sono la protezione e l’aggiornamento programmato dei dispositivi in campo, oltre che l’adozione di infrastrutture ibride (on-prem/cloud) per garantire la business continuity. Infine, la convergenza tra mondo IT e sicurezza fisica, dove dati provenienti da sistemi come videosorveglianza, controllo accessi, allarmi e soluzioni IIoT sono gestiti in modo centralizzato, permette di innalzare significativamente l’efficacia e l’efficienza complessiva dei sistemi e della cybersecurity.

L’unificazione dei flussi e delle piattaforme, inoltre, consente di integrare nuove tecnologie, abilitare funzionalità evolute e favorire la condivisione di dati e informazioni tra i diversi dipartimenti, garantendo una gestione più tempestiva, accurata e coordinata degli eventi”.

LEGGI LE RISPOSTE ALLE ALTRE DOMANDE

• Conoscere l’avversario: le tecniche di attacco

Dato che il primo passo per difendersi è conoscere bene l’avversario: quali ritenete siano le tecniche di attacco più utilizzate e più diffuse? Quali aspetti le rendono più efficaci di altre?

• Il ‘piano B’ e il ‘fattore uomo’

Una volta subito un attacco/furto/blocco, cosa è consigliabile fare? Come deve reagire la vittima? Cosa dovrebbe contenere il ‘piano B’?

• L’evoluzione attesa

In che direzione ritenete si evolveranno gli attacchi? E come dovranno di conseguenza cambiare le modalità di difesa?

• Le normative

Ritenete che le Direttive recentemente varate a livello nazionale e internazionale possano aiutare a contenere le minacce?

• Come agire sotto attacco

In caso di attacco, come è opportuno agire? E cosa non bisogna assolutamente fare?

Fonte foto Pixabay_thedigitalartist

Ilaria De Poli @ilariadepoli

• 
• Tweet
• Pin It
• Condividi per email