La distinzione tra sabotaggio fisico e digitale sta evaporando in una sintesi pericolosa di azioni offensive nota come cyber-kinetic attack. Le infrastrutture critiche, che per decenni hanno costituito le fondamenta invisibili della stabilità sociale — dalle reti elettriche ai sistemi di distribuzione idrica, fino alle dorsali di telecomunicazione — non sono più soltanto obiettivi di sabotaggio fisico, ma sono diventate il terreno di gioco per un’offensiva logica invisibile che risiede nei bit del firmware e negli aggiornamenti software.
Questa evoluzione segna il passaggio da un’era di aggressioni macroscopiche, come il tranciamento dei cavi sottomarini o gli attacchi dinamitardi ai gasdotti (esemplificati dal caso Nord Stream), a un’era di weaponization della catena di fornitura tecnologica, dove l’arma non è un missile, ma una riga di codice legittimamente firmata da un produttore di fiducia.
Indice degli argomenti
L’invisibilità dell’offesa: dalla forza cinetica alla weaponization del firmware
La transizione dal sabotaggio cinetico a quello logico rappresenta una rivoluzione dottrinale nella geopolitica digitale. Tradizionalmente, la distruzione di una centrale elettrica o di un nodo di comunicazione richiedeva la proiezione di forza fisica, con elevati costi logistici, rischi operativi e una chiara attribuzione che innescava risposte diplomatiche o militari immediate. Oggi, la capacità di manipolare la logica di un programmable logic controller attraverso un’infiltrazione silenziosa nel firmware permette di ottenere effetti distruttivi equivalenti o superiori, mantenendo un livello di negabilità e invisibilità che paralizza i processi decisionali della difesa.
Una backdoor inserita nel firmware di un componente critico o un attacco alla supply chain rappresentano minacce esistenziali superiori a un attacco missilistico convenzionale per diverse ragioni di ordine sistemico. Mentre un missile produce un danno localizzato e visibile, un’infiltrazione logica può diffondersi attraverso l’intero ecosistema di rete, rimanendo latente per periodi prolungati fino al momento della sua attivazione coordinata. Questa latenza permette all’aggressore di mappare le interdipendenze tra settori diversi (energia, trasporti, sanità), preparando un cascading failure o fallimento a cascata che può portare al collasso di un’intera nazione senza che sia stato sparato un singolo colpo.
Il caso studio di XZ Utils (CVE-2024-3094) ha dimostrato come un attore di minaccia persistente e sofisticato (APT) possa impiegare anni per infiltrare un progetto open-source vitale, costruendo una reputazione come maintainer affidabile per poi inserire una backdoor multistadio che avrebbe potuto garantire accesso remoto (RCE) a milioni di sistemi Linux in tutto il mondo. L’arma, in questo caso, era contenuta in file di test apparentemente innocui e attivata durante il processo di build, dirottando la funzione RSA_public_decrypt di OpenSSH tramite il meccanismo IFUNC di glibc.
Se non fosse stata scoperta per puro caso da un ingegnere che ha notato un’anomalia di 500ms nella latenza di login, questa vulnerabilità avrebbe potuto costituire un’arma di sabotaggio silenzioso pronta all’uso in un potenziale conflitto geopolitico.
La realtà scissa: manipolazione OT e distruzione fisica
Il sabotaggio logico nel dominio della Operational Technology (OT) opera creando quella che viene definita split reality o realtà scissa. Il malware, una volta compromesso il controller industriale, intercetta i segnali legittimi inviati dagli operatori umani e li sostituisce con comandi malevoli sul campo, mentre restituisce ai pannelli di controllo dati falsificati che mostrano un funzionamento nominale. Una tecnica nota come flapping — l’apertura e chiusura rapida di interruttori o valvole — può causare danni fisici irreparabili a trasformatori e generatori a causa di surriscaldamenti o stress meccanici estremi, portando a incendi o esplosioni che richiedono mesi per essere riparati. Questo tipo di attacco annulla la distinzione tra codice e materia, trasformando le leggi della fisica nello strumento di distruzione dell’aggressore digitale.
Il quesito fondamentale che i moderni Stati nazionali devono affrontare è: “Come può uno Stato garantire la propria sicurezza se la supply chain tecnologica è globale e l’arma è un aggiornamento legittimo?“. La risposta risiede nel superamento del concetto di perimetro fisico e nell’adozione di una strategia di sovranità digitale basata sulla verifica continua e sulla resilienza intrinseca. Per decenni, le politiche di controllo delle esportazioni si sono basate sul concetto di tecnologia dual-use, distinguendo tra applicazioni civili e militari. Tuttavia, nell’era digitale, siamo passati a un paradigma omni-use, dove le medesime tecnologie — semiconduttori avanzati, algoritmi di intelligenza artificiale, librerie di crittografia — alimentano simultaneamente l’economia civile, i sistemi sanitari, la logistica militare e le infrastrutture critiche. Una vulnerabilità in una di queste tecnologie omni-use non è più solo un problema commerciale, ma una falla nella sicurezza nazionale.
Zero Trust Architecture a livello nazionale
L’implementazione della Zero Trust Architecture (ZTA) rappresenta il cambio di paradigma necessario per affrontare la minaccia della supply chain compromessa. La ZTA opera sul principio di “mai fidarsi, verificare sempre”, eliminando la fiducia implicita che precedentemente veniva concessa agli utenti o ai dispositivi all’interno di una rete considerata sicura. Applicata a livello nazionale e alle infrastrutture critiche, la ZTA richiede:
- Microsegmentazione granulare: l’isolamento dei processi critici per impedire il movimento laterale degli attaccanti che hanno già ottenuto un punto di appoggio iniziale.
- Autenticazione continua: non è più sufficiente verificare l’identità al momento dell’accesso; ogni transazione, ogni comando inviato a un PLC e ogni aggiornamento software deve essere verificato in modo dinamico e contestuale.
- Monitoraggio e validazione della supply chain: l’adozione di standard come la Software Bill of Materials permette agli Stati di conoscere esattamente quali componenti compongono i sistemi critici, facilitando l’identificazione rapida di librerie vulnerabili o sospette.
Gli Stati devono muoversi verso un modello in cui la sicurezza non è un prodotto che si acquista, ma un processo di verifica costante. Questo implica la capacità di analizzare i binari del firmware e di monitorare il comportamento dei sistemi in tempo reale per rilevare deviazioni minime che potrebbero indicare una compromissione logica.
Il fattore umano come single point of failure
Nonostante i miliardi investiti in tecnologie di difesa all’avanguardia, il fattore umano rimane l’anello più debole della catena. I dati dei rapporti sulle violazioni indicano costantemente che oltre il 75% degli attacchi ha successo grazie a errori umani, configurazioni errate o tecniche di social engineering. La vulnerabilità umana non si limita all’utente finale che clicca su un’email di phishing; la minaccia più insidiosa risiede nella scarsa cultura della sicurezza ai vertici decisionali e nella complessità operativa gestita dagli amministratori di sistema.
Molti decision-maker considerano ancora la cybersicurezza come un costo operativo piuttosto che un investimento strategico, portando a una cronica carenza di budget per la formazione e l’aggiornamento delle infrastrutture. Gli amministratori di sistema e gli operatori OT affrontano la sfida della manutenzione di sistemi legacy che non sono stati progettati per essere sicuri by design. L’errore umano in questo contesto può manifestarsi come una mancata applicazione di una patch critica per non interrompere la continuità del servizio, o l’utilizzo di credenziali predefinite in sistemi esposti su internet per facilitare l’accesso remoto. L’evoluzione delle minacce cyber include ora la dimensione della guerra cognitiva, dove l’aggressore mira a manipolare la percezione della realtà delle vittime per indurle a compiere azioni dannose.
I rischi del social engineering
L’intelligenza artificiale ha superalimentato il social engineering, permettendo la creazione di comunicazioni iper-personalizzate e deepfake che possono ingannare anche personale esperto.
La creazione di una cultura della sicurezza resiliente richiede quindi un approccio che vada oltre la formazione tecnica, includendo la psicologia del rischio e la capacità di operare in situazioni di stress elevato senza compromettere i protocolli di sicurezza. L’Italia ha intrapreso un percorso ambizioso per blindare le proprie infrastrutture critiche, riconoscendo che la sicurezza digitale è precondizione per la sicurezza nazionale e lo sviluppo economico. L’istituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN) rappresenta la pietra angolare di questa nuova architettura di difesa.
Il Perimetro di Sicurezza Nazionale Cibernetica
Il PSNC è lo strumento legislativo che obbliga le pubbliche amministrazioni e gli operatori di servizi essenziali a garantire elevati livelli di sicurezza per le reti e i sistemi informativi da cui dipende l’esercizio di funzioni essenziali dello Stato. Il Perimetro copre settori vitali come l’energia, le telecomunicazioni, i trasporti, l’economia e la finanza, e la difesa.
Un elemento distintivo del modello italiano è il ruolo del Centro di Valutazione e Certificazione Nazionale. I soggetti inclusi nel perimetro che intendono acquistare beni o servizi ICT destinati ad essere impiegati su asset critici devono notificare l’intenzione ad ACN/CVCN.
Il CVCN effettua uno screening tecnologico, che può includere test di laboratorio su hardware e software per identificare vulnerabilità o potenziali minacce alla sicurezza nazionale prima che il componente entri nella rete critica.
Il tessuto industriale italiano è composto prevalentemente da Piccole e Medie Imprese (PMI) che, pur essendo eccellenze nei rispettivi settori, presentano spesso una maturità cyber inferiore rispetto ai grandi operatori. Queste PMI sono tuttavia nodi cruciali delle catene di fornitura nazionali; un attacco a una PMI interconnessa può essere utilizzato come testa di ponte per colpire un operatore del Perimetro tramite movimento laterale. L’ACN ha pubblicato linee guida specifiche per i dirigenti delle PMI, sottolineando che la cybersicurezza non deve essere vista come un costo, ma come un fattore abilitante e una protezione della produttività. La sfida rimane la strutturazione di una difesa che tenga conto della scarsità di risorse interne a queste imprese, promuovendo modelli di sicurezza gestita e qualificazione dei fornitori cloud secondo gli standard nazionali. La Strategia Nazionale di Cybersicurezza punta a raggiungere l’autonomia tecnologica e la sovranità digitale, riducendo la dipendenza da fornitori extra-UE in settori strategici. Questo obiettivo viene perseguito attraverso investimenti nel potenziamento della resilienza della PA, lo sviluppo di capacità forensi e la creazione di un ecosistema di collaborazione tra settore pubblico, privato e mondo accademico per la ricerca e lo sviluppo di tecnologie di difesa sovrane.
Case study: deep lateral movement in una infrastruttura idrica
Per comprendere l’impatto reale di queste minacce, analizziamo uno scenario basato su ricerche recenti riguardanti il deep lateral movement a livello di controller (Livello 1 della piramide di Purdue).
Fase 1: accesso iniziale (IT-OT Bridge) Un aggressore ottiene l’accesso alla rete ufficio (IT) di un distretto idrico attraverso una campagna di spear-phishing mirata a un amministratore. Sfruttando la convergenza IT-OT e la presenza di un terminale dual-homed (connesso a entrambe le reti), l’attaccante si sposta lateralmente nel dominio SCADA.
Fase 2: riconoscimento e privilegi Utilizzando strumenti integrati come PowerShell e Netstat, l’aggressore mappa la gerarchia della rete industriale, identificando i PLC responsabili del controllo delle valvole e dei livelli di cloro.
Fase 3: deep lateral movement a livello 1 L’attaccante non si ferma alla workstation di ingegneria. Sfruttando vulnerabilità nei protocolli industriali (es. Modbus, protocolli proprietari Schneider o Allen-Bradley), si sposta in profondità da un PLC all’altro. Questo gli permette di superare perimetri di sicurezza interni spesso trascurati e di raggiungere dispositivi annidati che non hanno visibilità diretta sulla rete principale.
Fase 4: sabotaggio logico-fisico L’aggressore carica una logica malevola che disabilita i sistemi di sicurezza (Safety Instrumented Systems) e ordina l’apertura simultanea di tutte le valvole di scarico, causando una caduta improvvisa della pressione e rischiando la contaminazione o l’interruzione della fornitura idrica. Grazie alla manipolazione del firmware, gli operatori vedono parametri normali mentre il danno fisico si consuma sul campo.
Resilience by design: raccomandazioni per un futuro sicuro
La complessità del panorama delle minacce richiede un passaggio definitivo dalla difesa reattiva alla resilience by design. Questo approccio presuppone che la compromissione sia inevitabile e progetta sistemi capaci di combattere attraverso l’incidente, mantenendo le funzioni essenziali.
La ricerca propone l’adozione di metriche quantitative per valutare la resilienza delle infrastrutture critiche. L’ACRI è un indice composto che integra diverse dimensioni:
● (Detection Performance): efficacia dei sistemi AI nel rilevare anomalie in tempo reale.
● (Operational Continuity): capacità di mantenere i service level objectives sotto stress.
● (Governance Maturity): grado di allineamento con standard come ISO 27001 e IEC 62443.
● (Supply-Chain Risk): esposizione derivante dalla provenienza dei componenti e dalla qualità delle SBOM.
Raccomandazioni strategiche
Adozione del modello dual-loop: integrare il controllo predittivo basato su AI direttamente nei cicli di controllo di supervisione industriale, garantendo latenze inferiori ai 10ms per interventi proattivi.
Digital twin per la validazione: utilizzare i gemelli digitali delle infrastrutture per testare scenari di attacco e strategie di recupero in un ambiente sicuro, riducendo i costi di formazione e aumentando la prontezza operativa.
Micro-segmentazione e ZTA: implementare la Zero Trust a ogni livello della piramide di Purdue, trattando ogni comunicazione tra PLC come una potenziale minaccia che richiede autenticazione.
Cultura della responsabilità condivisa: istituire la figura del Security Manager in ogni azienda critica, garantendo che la cybersicurezza sia un tema di board e non solo di reparto IT.
Federated learning per l’intelligence: promuovere la condivisione anonimizzata di threat intelligence tra operatori dello stesso settore tramite tecniche di federated learning, permettendo di addestrare modelli di difesa senza esporre dati proprietari sensibili.
Cosa aspettarci
La battaglia per la sicurezza delle infrastrutture critiche si è spostata all’interno del silicio e della logica software. La capacità di uno Stato di proteggere i propri cittadini dipenderà dalla sua capacità di costruire sistemi che non si limitino a ergere muri, ma che siano intrinsecamente resilienti, capaci di autodiagnosi e pronti a operare in un ambiente di sfiducia permanente.
La sovranità digitale non è isolamento, ma il controllo cosciente di ogni bit che muove il mondo fisico.
