Tavola rotonda: “Industrial Cyber Security” – IntroduzioneERT

Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte.

Conoscere l’avversario: le tecniche di attacco

Dato che il primo passo per difendersi è conoscere bene l’avversario: quali ritenete siano le tecniche di attacco più utilizzate e più diffuse? Quali aspetti le rendono più efficaci di altre? 

Andrea Ferrazzi, cybersecurity business unit director di Relatech:

“La crescente convergenza tra IT e OT amplia la superficie di attacco dei cybercriminali che, nel contesto industriale, non puntano più soltanto ai dati, ma sempre più ai processi produttivi e alla continuità operativa. Per questo i vettori più efficaci sono quelli che consentono agli attaccanti di entrare nei sistemi senza generare immediatamente anomalie evidenti.

Uno dei principali punti di ingresso è rappresentato dagli accessi remoti a macchine e impianti. La digitalizzazione delle fabbriche ha reso indispensabili connessioni da parte di OEM, manutentori e fornitori di servizi: se questi accessi non sono governati con modelli di autenticazione forte, tracciabilità e controllo, possono diventare una porta di ingresso privilegiata per un attaccante. Un ulteriore aspetto da considerare è quello legato alla supply chain: gli ecosistemi industriali sono fortemente interconnessi e coinvolgono una molteplicità di partner tecnologici. Un dispositivo compromesso introdotto da un fornitore, o un sistema esterno, non adeguatamente controllato, possono aggirare le difese e propagarsi all’interno della rete OT. Infine, un elemento che sta accelerando l’evoluzione delle minacce è l’utilizzo sempre più diffuso dell’intelligenza artificiale anche da parte dei cybercriminali. L’AI consente di automatizzare molte fasi dell’attacco, rendendo quest’ultimo più rapido, scalabile e difficile da individuare”.

Andrea Lasagna, head of security di Fastweb+Vodafone:

“Fastweb+Vodafone ha contribuito anche quest’anno a fotografare la situazione del cyber crime in Italia del Rapporto Clusit attraverso il proprio SOC- Security Operations Center, attivo 24/7, e i propri centri di competenza di sicurezza informatica. Il quadro complessivo descrive un’evoluzione verso una varietà inferiore di minacce, ma più pervasive e concentrate, capaci di colpire in profondità infrastrutture e dispositivi distribuiti.

L’andamento mensile suggerisce una persistenza del rischio anche nel 2026. I dati del 2025 evidenziano uno scenario in netta espansione, con 5.930 attacchi registrati (+26% sul 2024). Il settore più colpito si conferma la Pubblica Amministrazione (36% del volume totale degli attacchi); crescono gli attacchi rivolti al settore Servizi, Service provider ed Energy. Si nota una tendenza verso attacchi più frequenti ma meno intensi, con una crescita di quelli a bassa volumetria (sotto i 10 Gbps). Sul fronte della durata, sebbene il 92% degli eventi si risolva in meno di un’ora, si registra un preoccupante aumento degli attacchi più persistenti: quelli della durata di 1-3 ore sono saliti al 4,13% e quelli superiori alle 24 ore sono quasi raddoppiati, indicando una maggiore tenacia da parte degli attaccanti.

Tra le categorie di attacchi resta rilevante il peso del phishing per carpire sia credenziali corporate, sia consumer. Il malware è la tecnica di attacco scelta in 1 messaggio su 5, e anche nel 2025 le principali tipologie di frodi rimangono legate alla sottoscrizione di contratti con furto di identità, e al CLI Spoofing, ovvero la manipolazione del numero chiamante per truffe telefoniche, neutralizzate con maggiore efficacia grazie ai filtri Agcom (delibera 106/25 CIR).

Per quanto riguarda la geografia, gli Stati Uniti restano la prima area di provenienza, mentre l’Italia sale al secondo posto. Tra le novità compare la Spagna, verosimilmente in relazione ai recenti investimenti dei grandi provider cloud nei datacenter di Zaragoza e Madrid.

In questo contesto, si conferma prioritaria la necessità di rafforzare i controlli di sicurezza lungo la filiera software e hardware, al fine di ridurre esposizione, impatto operativo e potenziale sfruttamento delle botnet. Sul piano difensivo, le contromisure dei servizi di cybersecurity hanno contenuto e bloccato una parte significativa delle attività malevole, ma i dati mostrano anche un aumento del traffico di bot crawler collegati a sistemi di intelligenza artificiale, un elemento che suggerisce campagne più automatizzate e scalabili. Gli attaccanti, grazie all’AI, hanno oggi accesso a soluzioni sempre più mature, che automatizzano attività complesse, il che abbassa drasticamente la barriera tecnica, permettendo anche a utenti poco esperti di condurre attacchi avanzati e facilitando gli attacchi su grossa scala. Viceversa, sul fronte difensivo, l’adozione dell’AI permette di efficientare il SOC automatizzando l’analisi degli alert, riducendo i falsi positivi e accelerando il triage, con un impatto diretto sulla capacità di gestire più eventi e concentrarsi sugli incidenti critici”.

Marco Fanuli, technical director di TrendAI, business unit di Trend Micro:

“Il panorama degli attacchi contro gli ambienti industriali sta cambiando in modo significativo, ma tra le tecniche più diffuse figurano il phishing e l’ingegneria sociale mirata. Inoltre, gli attacchi sono indirizzati sia all’azienda target, sia alla supply chain. Anche il ransomware industriale rappresenta una minaccia preoccupante, poiché mira all’interruzione operativa vera e propria, non solo alla classica crittografia dei dati. Negli ambienti OT, dove le finestre di patching sono estremamente strette e i sistemi legacy abbondano, lo sfruttamento di vulnerabilità zero-day rappresenta una minaccia ad alta efficacia. Anche le credenziali compromesse restano tra i vettori più semplici ed efficaci: la compromissione tramite phishing delle credenziali di un manutentore apre l’accesso a sistemi critici senza necessariamente attivare allarmi comportamentali.

A questo complesso scenario, infine, va aggiunto che spesso le priorità aziendali sono orientate alla continuità operativa e non alla sicurezza, e che la complessità della supply chain amplifica enormemente i potenziali punti di ingresso”.

Irina Artioli, security solutions consultant di Acronis:

“Le tecniche cyber più diffuse sfruttano soprattutto le identità digitali e la fiducia degli utenti. Il phishing rimane il principale vettore di accesso iniziale perché è economico, scalabile e facilmente adattabile: gli aggressori creano messaggi personalizzati con l’AI generativa, in più lingue e molto convincenti, rendendo difficile distinguere le comunicazioni legittime da quelle malevoli.

Campagne recenti mostrano come queste tecniche vengano applicate concretamente. In alcuni casi gli hacker hanno sfruttato funzionalità legittime di Microsoft 365 per inviare email che sembravano provenire dall’interno dell’organizzazione, raccogliendo credenziali senza compromettere inizialmente alcun account. In altre campagne, i link dannosi sono stati nascosti dietro servizi di link wrapping affidabili e contrassegnati da marchi di sicurezza, reindirizzando gli utenti verso falsi portali di accesso e aggirando i controlli di reputazione di base. Anche le piattaforme di collaborazione sono state prese di mira: gli aggressori hanno impersonato il personale dell’helpdesk nelle chat di Microsoft Teams e convinto gli utenti ad approvare richieste MFA o a eseguire script. L’obiettivo è manipolare la fiducia per ottenere accessi legittimi. Oltre al phishing, l’abuso di credenziali e token è diventato centrale. Sempre più spesso gli hacker non violano i sistemi, ma effettuano semplicemente il login utilizzando password rubate, cookie di sessione, token OAuth o chiavi API. Questo permette loro di muoversi tra piattaforme SaaS, ambienti cloud e strumenti di gestione remota apparendo come utenti autorizzati, rendendo il rilevamento più complesso.

Un’altra tecnica diffusa è il cosiddetto ‘living off the land’, che consiste nell’utilizzare strumenti amministrativi già presenti nei sistemi, come PowerShell o software di gestione remota, invece di distribuire malware evidente. In diversi incidenti del 2025 questo approccio ha consentito agli aggressori di distribuire ransomware simultaneamente su numerosi endpoint.

Parallelamente stanno cambiando anche le strategie di estorsione. Molti gruppi criminali privilegiano oggi l’esfiltrazione e la divulgazione dei dati rispetto alla crittografia di massa, perché il furto di informazioni può essere più silenzioso e generare una pressione maggiore sulle organizzazioni colpite, soprattutto nei settori regolamentati. Nel complesso, queste tecniche risultano efficaci perché sfruttano debolezze strutturali diffuse: proliferazione delle identità digitali, privilegi eccessivi, scarsa visibilità negli ambienti ibridi e processi basati su un’eccessiva fiducia. Acronis supporta le imprese a proteggersi da questi attacchi grazie alla piattaforma Acronis Cyber Protect, adattata agli ambienti OT e ai sistemi industriali come ICS, Scada e alle infrastrutture di produzione. L’approccio si basa sul tema della cyber resilience, capace di coniugare sicurezza informatica e funzionalità di ripristino rapido per ridurre l’impatto degli attacchi”.

Samuele Zaniboni, manager of sales engineering di Eset Italia:

“Il contesto della cybersecurity è in continua evoluzione e gli attacchi informatici stanno crescendo in frequenza e complessità. In particolare, i dati rilevati nel Threat Report di Eset di fine 2025 hanno evidenziato che crescono in modo significativo gli attacchi AI-driven e le minacce legate alla tecnologia NFC-Near Field Communication. Gli ultimi mesi hanno segnato un passaggio importante: l’intelligenza artificiale non viene più utilizzata solo per supportare truffe e phishing, ma inizia a essere integrata direttamente nello sviluppo di malware. Tra le scoperte più rilevanti dei ricercatori Eset figura PromptLock, considerato il primo ransomware AI-driven noto, capace di generare dinamicamente script malevoli, minacce che segnalano l’inizio di una nuova fase nel cybercrime. In forte crescita anche le truffe di investimento Nomani, che nella telemetria Eset hanno registrato un aumento delle rilevazioni del 62% su base annua. Le campagne mostrano un uso sempre più sofisticato di deepfake, siti di phishing generati dall’AI e inserzioni pubblicitarie di breve durata pensate per ridurre le possibilità di individuazione. Inoltre, queste truffe stanno ampliando la propria presenza oltre le piattaforme Meta, raggiungendo anche altri canali come YouTube.

Non si arresta neppure la crescita del ransomware: il numero di vittime ha superato i livelli del 2024, con una previsione di aumento del 40% su base annua. Tra i principali attori del modello Ransomware-as-a-Service emergono Akira e Qilin, mentre il nuovo gruppo Warlock ha introdotto tecniche di evasione innovative. Parallelamente prosegue la diffusione degli EDR killer, strumenti progettati per disattivare le soluzioni di sicurezza sugli endpoint.

Sul fronte mobile, i dati di Eset evidenziano una forte crescita delle minacce basate sulla tecnologia NFC, con un aumento dell’87% delle rilevazioni. Tra queste figurano NGate, aggiornato con nuove funzionalità, e RatOn, malware che combina capacità di controllo remoto con attacchi di relay NFC, ed è distribuito tramite false pagine Google Play e annunci ingannevoli. Quello che rende le nuove tecniche più efficaci è la combinazione di ingegneria sociale, automazione, sfruttamento di vulnerabilità note e adattamento continuo alle contromisure. La pericolosità deriva dal fatto che non solo sfruttano difese tecnologiche tradizionali, ma anche debolezze umane e organizzative, rendendo fondamentale per le aziende conoscere l’avversario, monitorare costantemente i propri sistemi e adottare strategie di sicurezza proattive e multilivello”.

Matteo Uva, alliance&business development director di Fortinet:

“Dalla nostra telemetria, che monitora quotidianamente miliardi di eventi a livello globale, emerge come le tecniche oggi più diffuse non siano necessariamente le più sofisticate dal punto di vista tecnico, ma quelle più semplici e meglio orchestrate. Il primo vettore restano il social engineering e il phishing, che si confermano il principale percorso d’ingresso nelle aziende in quanto sfruttano il fattore umano, che continua a rappresentare l’anello più debole della catena di sicurezza.

Le campagne sono sempre più mirate – si pensi allo spear phishing – e oggi vengono potenziate da strumenti di automazione e intelligenza artificiale che rendono i messaggi estremamente credibili. Una seconda tecnica ancora ampiamente utilizzata è il ransomware, evolutasi verso modelli di doppia o tripla estorsione: non si limita più solo alla cifratura dei dati, ma include anche l’esfiltrazione e la minaccia di pubblicazione. In questo caso l’impatto è operativo e reputazionale: il ransomware colpisce direttamente la continuità del business, blocca dati e processi produttivi e mette l’azienda sotto pressione immediata, costringendola a reagire rapidamente, talvolta senza il tempo di una valutazione strutturata. Un terzo trend rilevante è la compromissione della supply chain: le organizzazioni più strutturate e attente alla compliance alle normative, come la NIS2, tendono a rafforzare i propri perimetri, ma restano connesse a fornitori più piccoli e terze parti che possono rappresentare l’anello debole. Gli attaccanti sfruttano la relazione fiduciaria esistente con queste realtà, per raggiungere l’obiettivo finale attraverso software o partner meno protetti.

Ciò che accomuna queste tecniche è una combinazione di fattori: scalabilità data dall’AI, che consente di replicare azioni malevole in modo automatizzato su larga scala; asimmetria dei costi, in quanto l’attacco richiede investimenti minimi rispetto alla difesa; sfruttamento della crescente complessità degli ecosistemi IT-OT, cloud, remote working e supply chain, che estende e frammenta ulteriormente il perimetro di sicurezza”.

Dario Schiraldi, channel account executive Italia di Genetec:

“Abbiamo notato come nel 2025 gli attaccanti abbiano continuato a colpire con precisione chirurgica l’anello più debole della catena: l’essere umano. Tuttavia, per un’azienda che opera nella sicurezza fisica, il rischio non si ferma alle email di phishing ricevute in ufficio, ma si estende a ogni telecamera, controller di controllo accessi o sensore IoT connesso alla rete.

Le tecniche più diffuse restano il social engineering, con particolare prevalenza di phishing e smishing, seguite da malware sofisticati e dall’uso di credenziali compromesse. Sullo sfondo, rimangono costanti le violazioni di dispositivi periferici per accedere lateralmente alla rete, attacchi DDoS e ransomware. Perché questi tipi di attacchi funzionano? Sono tecniche che sfruttano tre vulnerabilità spesso sottovalutate dalle aziende, in primis la manipolazione della fiducia e l’identità. Gli attacchi di social engineering, infatti, funzionano perché sfruttano la fiducia intrinseca delle persone e la cronica scarsa protezione delle identità digitali.

Se un utente non è formato a riconoscere un tentativo di intrusione, o se l’azienda non adotta criteri di autenticazione robusti, l’identità diventa la chiave d’accesso principale per i criminali. Ulteriore aspetto è l’esposizione dell’ecosistema IoT e physical security. Il vero moltiplicatore del rischio oggi è la crescente esposizione dovuta a dispositivi IoT e periferiche di sicurezza non adeguatamente governati. Spesso telecamere o sensori vengono installati e ‘dimenticati’, senza cambiare le password predefinite, o senza aggiornare il firmware, il che li rende ‘ingressi di servizio’ ideali per iniettare malware o lanciare attacchi alla rete IT aziendale. Infine, vi è mancanza di unificazione e visibilità: molti sistemi di sicurezza fisica operano ancora in silos. La mancanza di una visione unificata tra il monitoraggio della rete e il monitoraggio degli asset fisici rende difficile individuare tempestivamente una violazione che inizia nel mondo digitale per colpire infrastrutture fisiche (e viceversa).

Il settore sta reagendo, non solo investendo nella formazione continua degli utenti, ma anche nell’adozione di strumenti di cybersecurity sempre più avanzati e raffinati. Riteniamo che la protezione non posa essere un elemento aggiunto a posteriori, ma debba essere ‘Cyber-Resilient by Design’. Per contrastare l’efficacia degli attacchi è fondamentale che le aziende adottino un approccio di governance delle identità, dove ogni accesso, che si tratti di una cartella condivisa, o di una sala server protetta da un varco, sia verificato e tracciato. Grazie all’adozione di piattaforme di unificazione dei sistemi, come Genetec Security Centre, e al monitoraggio costante dei dispositivi è possibile qualificare gli eventi critici e automatizzare la risposta agli incidenti, trasformando la sicurezza da una funzione reattiva a un asset strategico, che genera valore e protezione reale”.

Manfredi Blasucci, security solutions architect di Qualys Italia:

“Le tecniche di attacco più pericolose non necessariamente sono le più sofisticate tecnicamente; si pensi a quelle che sfruttano la convergenza IT-OT e la legacy dei sistemi industriali, spesso progettati decenni fa, senza alcuna considerazione per la sicurezza informatica. Oppure lo spear phishing e initial access brokers, dove il punto di ingresso resta, statisticamente, il più banale: un’email. Ma lo spear phishing moderno è ‘chirurgico’. Gli attori malevoli – sempre più spesso organizzazioni strutturate, che operano in modalità Hacker-as-a-Service – acquistano accessi già compromessi da initial access brokers sul dark web; questi broker vendono credenziali VPN, sessioni RDP attive, accessi a sistemi Scada esposti, a prezzi che vanno dai 500 ai 10.000 dollari, a seconda della criticità del target. Un altro esempio sono i ransomware come arma strategica, non solo economica, in quanto il ransomware industriale non punta solo all’estorsione, bensì all’interruzione operativa.

Ma cosa rende queste tecniche più efficaci di altre? La convergenza IT-OT non gestita: molte reti OT, nate air-gapped, sono state progressivamente connesse a Internet per esigenze di telemetria, manutenzione remota, integrazione ERP. Senza una segmentazione adeguata, un attaccante che entra dalla porta IT può lateralmente raggiungere i PLC. Complice anche il ciclo di vita lungo dei sistemi industriali: un PLC installato nel 2005 non riceverà mai una patch per una vulnerabilità scoperta nel 2024. I vendor talvolta non supportano più i sistemi, oppure le patch non possono essere applicate senza fermare la produzione per settimane.

Inoltre, l’HaaS abbassa la soglia di ingresso: oggi un attore con risorse limitate può acquistare un Ransomware-as-a-Service, noleggiare un’infrastruttura di Command&Control, acquistare accessi precompromessi e lanciare un attacco contro un’infrastruttura critica senza competenze tecniche avanzate. Il mercato del crimine informatico si è industrializzato esattamente come i settori che attacca”.

Fonte foto apertura Pixabay_thedigitalartist

LEGGI LE RISPOSTE ALLE ALTRE DOMANDE

• Sicurezza IT-OT: come ottenerla?

A fronte di questi attacchi, quali secondo voi sono agli aspetti chiave che un’azienda deve tenere in considerazione per mettere in sicurezza le proprie reti IT-OT?

• Il ‘piano B’ e il ‘fattore uomo’

Una volta subito un attacco/furto/blocco, cosa è consigliabile fare? Come deve reagire la vittima? Cosa dovrebbe contenere il ‘piano B’?

• L’evoluzione attesa

In che direzione ritenete si evolveranno gli attacchi? E come dovranno di conseguenza cambiare le modalità di difesa?

• Le normative

Ritenete che le Direttive recentemente varate a livello nazionale e internazionale possano aiutare a contenere le minacce?

• Come agire sotto attacco

In caso di attacco, come è opportuno agire? E cosa non bisogna assolutamente fare?

HANNO PARTECIPATO

Andrea Ferrazzi, cybersecurity business unit director di Relatech

Andrea Lasagna, head of security di Fastweb+Vodafone

Marco Fanuli, technical director di TrendAI, business unit di Trend Micro

Irina Artioli, security solutions consultant di Acronis

Samuele Zaniboni, manager of sales engineering di Eset Italia

Matteo Uva, alliance & business development director di Fortinet

Manfredi Blasucci, security solutions architect di Qualys Italia

Flavio Renaldini, training manager di B&R Automazione Industriale

Francesco Tieghi, responsabile marketing e comunicazione in ServiTecno

Andrea Fiorina, system consultant di SEW-Eurodrive Italia

Alberto Ascoli, product manager, automation & electrification di Bosch Rexroth

Alberto Griffini, product manager modular PLC di Mitsubishi Electric

Antonio Burinato, general manager di Innovaway

Cristina Mariano, country manager di Advens Italia

Paolo Mura, team leader sales engineer di Axis Communications

Dario Schiraldi, channel account executive Italia di Genetec

Matteo Goglio, direttore marketing&sales di Infosecbox