Sala piena e persone in piedi: è stata un indubbio successo la giornata di studio dedicata al tema “OT Cyber Security: dalla teoria alla fabbrica”, organizzata da Consorzio PI Italia a Cavenago Brianza, alle porte di Milano. Un segnale evidente di come si tratti di ‘materia che scotta’, soprattutto alla luce dell’imminente entrata in vigore degli obblighi normativi che vengono d’Oltralpe (NIS2, Nuova Direttiva Macchine, CRA), che impattano – non poco – su tutti, fornitori, costruttori, system integrator ed end user.
Senza dimenticare che gli attacchi, o meglio ‘incidenti’ informatici sono in preoccupante aumento, costringendo sempre più spesso le imprese, anche italiane, anche PMI, a pagare lo ‘scotto’ sotto forma non solo di denaro estorto, ma anche di danno d’immagine e fermo impianto onerosi, che hanno anche portato a situazioni di difficoltà economica o addirittura chiusura delle attività.
Lo stato della OT Cyber Security: Rapporto Clusit 2026
Un aumento dei incidenti informatici OT nel periodo 2021-2025 del 49%, con un incremento significativo in Europa (+21%) e in Asia (+131%), dove è cresciuta la consapevolezza; 507 incidenti censiti in Italia nel 2025, pari a circa il 10% del totale globale monitorato (+42%), a fronte di un contributo del Belpaese al PIL mondiale di poco più del 2%: sono questi alcuni dei numeri riportati da Enzo Tieghi, componente del comunicato scientifico di Clusit, tratti dal Rapporto 2026 recentemente presentato dall’Associazione Italiana per la Sicurezza Informatica, in occasione dell’evento.
“Inoltre” ha proseguito Tieghi “il manifatturiero si conferma tra i settori più esposti: 12,6% delle vittime in Italia, anche per la forte presenza di PMI ancora in fase di strutturazione sul fronte cybersecurity. La maggior parte degli attacchi risulta riconducibile al cybercrime (61%), con un’elevata incidenza di attività finalizzate al furto di dati o di denaro, nonostante siano aumentati anche gli attacchi di tipo attivista (+145%), ad alta visibilità e bassa severità”.
“A livello tecnico, aumentano gli attacchi DDoS (38,5%) e le campagne di phishing (+66%), mentre diminuisce il peso del malware (-14%), probabilmente grazie alla maggiore efficienza dei sistemi di difesa approntati negli anni a fronte di questo tipo di strumento. Il 79% degli incidenti sfrutta vulnerabilità note, il che mostra l’importanza di una migliore gestione degli aggiornamenti e delle patch”.
“Molti asset industriali connessi (fino al 40%) non sono adeguatamente monitorati” ha rilevato Stefania Iannelli di Women For Security. “La convergenza IT/OT, l’adozione di IoT e dispositivi edge e l’uso di connessioni non sicure, per esempio per la manutenzione remota, ampliano la superficie di attacco”.
IT-OT: due mondi ancora divisi
Secondo le analisi riportate da SANS, organizzazione internazionale che si occupa di cybersecurity, nel mondo OT il numero di incidenti può essere inferiore rispetto all’IT, ma le conseguenze sono spesso più gravi e prolungate, con impatti diretti sulla continuità operativa. Un ulteriore elemento critico è la distanza culturale e tecnologica tra IT e OT, oltre al fatto che strumenti e approcci tipici dell’IT spesso non sono applicabili ai sistemi industriali, dove la priorità resta la continuità del servizio.
Un ulteriore tema su cui agire riguardare il recovery:
se i sistemi di rilevazione delle anomalie stanno migliorando, resta ancora debole la componente di ripristino dei sistemi a seguito di un incidente. Occorre dunque chiedersi: esistono back-up aggiornati di PLC e HMI? Quanto tempo è necessario per il ripristino?
Iannelli ha presentato il caso di un’azienda italiana del settore arredo colpita da attacco ransomware, o il caso di Jaguar Land Rover in UK, dove il fermo si è tradotto in mesi o settimane di inattività, con un impatto economico rilevante, in un caso sull’azienda e i dipendenti, costretti alla cassa integrazione, nell’altro sull’intera supply chain, coinvolgendo i fornitori che si sono trovati a loro volta in difficoltà economica.
La spinta normativa: NIS2, Regolamento Macchine e CRA
Il quadro normativo europeo rappresenta oggi uno dei principali driver di trasformazione anche in considerazione delle imminenti scadenze:
“Per la NIS2, che sostituisce la precedente NIS e riguarda la governance e i processi aziendali, estesa a tutta la supply chain, imponendo obblighi di gestione del rischio, a partire dal 1° gennaio 2026 è diventata obbligatoria la notifica degli incidenti agli enti preposti per il primo gruppo di soggetti (“essenziali e importanti”) cui si applica (articolo 25), mentre i primi obblighi relativi all’implementazione di misure base partiranno da ottobre 2026” ha chiarito Giorgio Santandrea, consigliere di PI Italia.
“Per il nuovo Regolamento Macchine, che ha integrato la cybersecurity nella sicurezza funzionale delle macchine (safety), imponendo ai costruttori di garantire che un attacco non metta a rischio le persone, entra in vigore il 20 ottobre 2026 il regime sanzionatorio per le violazioni, con un periodo transitorio che finisce il 20 gennaio 2027“.
“Relativamente al Cyber Resilience Act (CRA), che introduce requisiti stringenti per tutti i prodotti digitali, con impatti diretti sulla loro progettazione e sulla commercializzazione, l’11 settembre 2026 entra in vigore l’articolo 14: obbligo per i produttori di notificare alle autorità nazionali e all’Enisa le vulnerabilità attivamente sfruttate e gli incidenti gravi. Il Regolamento sarà poi pienamente applicabile dall’11 dicembre 2027. In particolare, il CRA richiede attività come la gestione delle vulnerabilità, la definizione della SBOM (Software Bill of Materials) e, in alcuni casi, la certificazione da parte di enti terzi”.
Per i costruttori di macchine, dunque, la cybersecurity diventa un elemento progettuale.
Santandrea ha sottolineato come sia necessario conoscere con precisione firmware e software installati e adottare processi strutturati per la gestione delle vulnerabilità. La futura norma armonizzata EN 50742 e lo standard IEC 62443 rappresentano i riferimenti tecnici principali cui fare riferimento; in particolare, l’approccio suggerito è quello basato sul rischio e sulla Defence in Depth.
“La serie di norme IEC 62443 costituisce oggi il principale riferimento per la sicurezza industriale ed è basata su valutazione del rischio, la definizione di Security Level e l’analisi della maturità digitale dell’impresa, coprendo aspetti tecnici e procedurali” ha evidenziato Miceala Caserza Magro di GFCC (Genoa Fieldbus Competence Center). “L’approccio ‘a castello medievale’, con segmentazione, DMZ e difese multilivello, consente di proteggere anche sistemi legacy non aggiornabili (brownfield), uno dei principali problemi degli impianti esistenti”.
Sul fronte tecnologico, Paolo Ferrari di CMST (Centro di Competenze PI Italia di Brescia) ha introdotto il protocollo Profinet v2.5, che introduce modelli scalabili di sicurezza basati su un’architettura a tre livelli: “Tra gli aspetti chiave troviamo l’attribuzione di una identità digitale dei dispositivi tramite certificati crittografici; la memorizzazione sicura delle chiavi su hardware dedicato; la definizione di ruoli e accessi basati su certificati; la possibilità di creare ‘tunnel’ di trasmissione dei dati sicuri per l’accesso ai dispositivi. Si tratta di un approccio che integra tecnologie tipiche dell’IT adattandole al contesto industriale”.
Dalla compliance alla strategia
Il messaggio emerso dal seminario è chiaro: la cybersecurity non è più solo un tema di conformità, ma un fattore strategico per la competitività industriale che può portare anche una serie di opportunità.
Tra le priorità operative:
costruire un asset inventory completo; formare il personale competente a livello anche di team manutentivo, in grado di operare anche sugli aspetti di cybersecurity durante i fermi programmati per la manutenzione di routine degli impianti; applicare misure come la segmentazione delle reti OT; pianificare per avere capacità di recovery rapide a seguito di un incidente; adottare framework strutturati come il modello presente nella IEC 62443.
In un contesto in cui gli attacchi aumentano e la normativa si irrigidisce, la capacità di garantire continuità operativa e resilienza diventa un elemento distintivo per l’intero ecosistema manifatturiero.