La protezione delle infrastrutture critiche sarà sempre di più una sfida collettiva: coinvolgerà governi, aziende, comunità scientifiche e singoli cittadini, tutti chiamati a fare la propria parte per garantire che il nervo vitale della nostra società rimanga sempre saldo e funzionante anche davanti alle prove più difficili. Soltanto con questo sforzo integrato sarà possibile mantenere elevati livelli di sicurezza e resilienza nel futuro scenario globale, proteggendo così i servizi essenziali da cui dipendiamo.
La prospettiva è quella di passare da un approccio reattivo ad uno proattivo e integrato: utilizzare l’intelligence (anche predittiva tramite AI) per prevenire attacchi, progettare infrastrutture tenendo conto del worst case scenario fin dall’inizio (principio security by design e resilience by design), e assicurare che in caso di crisi la risposta sia immediata, coordinata e multilivello.
Indice degli argomenti
Cosa sono le infrastrutture critiche
Le infrastrutture critiche sono quei sistemi e servizi essenziali – fisici o digitali – il cui funzionamento è vitale per la società e l’economia di un Paese. Comprendono settori chiave come l’energia, i trasporti, le telecomunicazioni, la finanza, la sanità, la fornitura idrica e la distribuzione alimentare, tra gli altri.
Sono definite “critiche” perché un loro malfunzionamento prolungato, o la loro distruzione, avrebbe un impatto disastroso sulla sicurezza nazionale, sull’economia o sulla salute pubblica. In altre parole, l’interruzione anche parziale di un’infrastruttura critica può causare gravi danni alla popolazione e al tessuto produttivo del Paese. Proprio per questo motivo, assicurare la loro resilienza e protezione è una priorità strategica: dalla continuità di tali servizi dipende il benessere quotidiano dei cittadini e la stabilità delle istituzioni.
L’identificazione delle infrastrutture critiche nazionali
Stabilire quali siano esattamente le infrastrutture critiche nazionali è un compito complesso e fondamentale. Ciascun Paese adotta criteri e normative per individuare e designare le infrastrutture considerate critiche, in base all’impatto potenziale di un loro blackout sul funzionamento della società. In Italia, ad esempio, la prima definizione normativa delle infrastrutture critiche risale al Decreto Legislativo 11 aprile 2011 n. 61, con cui è stata recepita la Direttiva europea 2008/114/CE.
Tale decreto ha fissato le procedure per identificare sia le Infrastrutture Critiche Europee (ICE) nei settori energia e trasporti, sia le infrastrutture critiche nazionali negli altri settori rilevanti. Le autorità competenti valutano periodicamente quali impianti, reti o enti fornitori di servizi essenziali rientrino in questa categoria, considerando fattori come la scala degli utenti serviti, le possibili ripercussioni di un’interruzione e le interdipendenze con altri settori. A livello operativo, esistono comitati interministeriali e agenzie dedicate (in Italia oggi l’Agenzia per la Cybersicurezza Nazionale – ACN per la parte cyber) incaricati di tenere un elenco aggiornato dei soggetti critici e di notificarli formalmente.
Infrastrutture critiche fisiche e digitali a confronto
Tradizionalmente, quando si parlava di infrastrutture critiche ci si riferiva a strutture fisiche: centrali elettriche, reti ferroviarie, ospedali, acquedotti, ecc. Oggi però la distinzione tra mondo fisico e digitale è sempre più labile. Da un lato, anche le infrastrutture digitali (come data center, servizi cloud, reti Internet, server DNS) sono riconosciute come critiche, in quanto il corretto funzionamento dell’economia e dei servizi pubblici dipende ormai da esse tanto quanto da strade o centrali elettriche. Dall’altro lato, quasi tutte le infrastrutture fisiche sono gestite e controllate tramite sistemi informatici.
Questa convergenza significa che una minaccia cyber può ripercuotersi sul mondo reale (basti pensare a un malware che arresta un impianto industriale), e viceversa un guasto fisico può avere effetti a cascata su sistemi informatici interdipendenti. In sintesi, infrastrutture un tempo puramente materiali oggi hanno una controparte digitale altrettanto critica, e la loro difesa richiede un approccio unificato.
Le principali minacce che mettono a rischio le infrastrutture critiche
Le infrastrutture critiche si trovano ad affrontare una varietà di minacce potenzialmente in grado di comprometterne il servizio. Possiamo raggruppare queste minacce in due macrocategorie: quelle di natura intenzionale (dovute cioè ad attacchi deliberati da parte di attori ostili, siano essi cyber criminali, terroristi o stati-nazione) e quelle di natura accidentale o naturale (eventi catastrofici, guasti tecnici, calamità). Entrambe le categorie destano forte preoccupazione e richiedono misure di prevenzione specifiche. Negli ultimi anni è emerso chiaramente che la minaccia cibernetica rappresenta spesso il pericolo più subdolo e in crescita per questo tipo di infrastrutture.
Attacchi cyber: la minaccia più insidiosa
Gli attacchi informatici ai danni di infrastrutture critiche sono considerati oggi la minaccia più insidiosa e probabilmente crescente. A differenza di un disastro naturale, un attacco cyber può essere pianificato per colpire nei punti e nei momenti di maggior vulnerabilità, può propagarsi senza confini geografici e – fatto non trascurabile – spesso avviene in modo silenzioso e invisibile fino al momento dell’impatto. Nazioni ostili, gruppi hacker sponsorizzati da Stati, organizzazioni criminali transnazionali o anche singoli criminali informatici sfruttano malware avanzati, ransomware, campagne di phishing e altre tattiche per infiltrarsi nei sistemi cruciali.
Gli obiettivi possono essere molteplici: sabotare l’erogazione di servizi essenziali, rubare dati sensibili, chiedere riscatti (ransomware) o condurre spionaggio industriale e militare. Purtroppo, i casi concreti non mancano. Un esempio eclatante è l’attacco ransomware subito nel maggio 2021 dalla società americana Colonial Pipeline, che ha bloccato per giorni la distribuzione di carburante sulla costa Est degli Stati Uniti, causando disagi economici enormi. Ancora, durante il conflitto russo-ucraino, l’Ucraina ha visto più volte le sue reti energetiche bersaglio di attacchi informatici coordinati con operazioni militari: nel 2022 hacker russi sono riusciti a manipolare da remoto interruttori di sottostazioni elettriche, causando blackout in intere regioni, in concomitanza con bombardamenti missilistici. Questi episodi dimostrano quanto i cyber attacchi alle infrastrutture abbiano effetti sistemici.
Disastri naturali e attacchi fisici
Accanto alla minaccia cyber, restano sempre attuali i rischi fisici per le infrastrutture critiche, dovuti sia a eventi naturali sia ad azioni deliberate. Con il clima che cambia, eventi un tempo rari stanno diventando più frequenti: basti ricordare il blackout occorso in Texas nel 2021, quando un’ondata di gelo eccezionale mandò in crisi l’intera rete elettrica e idrica, lasciando milioni di persone senza corrente né acqua. Questo episodio ha evidenziato anche le forti interdipendenze: il guasto di un singolo componente critico (in quel caso, le centrali di generazione elettrica non preparate al gelo) ha innescato una reazione a cascata che ha coinvolto altri servizi essenziali, come l’approvvigionamento idrico e il riscaldamento domestico.
Sul fronte degli attacchi fisici intenzionali, le infrastrutture critiche sono da sempre bersagli di atti di sabotaggio, vandalismo o terrorismo. Negli scorsi decenni gruppi terroristici hanno talvolta preso di mira infrastrutture (si pensi agli attentati ai gasdotti in contesti bellici o ai ripetitori telefonici danneggiati da estremisti). Fortunatamente, gli attacchi fisici su larga scala sono relativamente rari, sia per le difficoltà logistiche sia perché i terroristi tendono a privilegiare obiettivi che garantiscano visibilità immediata. Tuttavia, le autorità restano in allerta: in diversi Paesi sono state sventate sul nascere trame di estremisti interni volte a colpire reti elettriche o acquedotti. Va inoltre sottolineato che oggi si teme molto lo scenario ibrido, cioè la combinazione di attacchi cyber e attacchi fisici coordinati. Questa tattica ibrida può massimizzare i danni e la confusione, come visto nell’esempio ucraino (cyber attacco alla rete elettrica unito a bombardamenti).
Come proteggere le infrastrutture critiche: strategie e soluzioni
Di fronte a minacce così eterogenee e in evoluzione, come si possono proteggere efficacemente le infrastrutture critiche? La risposta sta in un approccio strategico integrato, che combini misure tecnologiche avanzate, organizzazione e procedure adeguate, normative rigorose e collaborazione tra pubblico e privato. Non esiste la “soluzione miracolosa” unica: la sicurezza di questi asset vitali va costruita su più livelli, con ridondanze e piani di emergenza.
In generale, le strategie di Critical Infrastructure Protection (CIP) ruotano attorno a concetti chiave: prevenire le minacce (mediante l’analisi proattiva dei rischi e l’implementazione di contromisure), proteggere con difese “in profondità” (defense in depth), rilevare tempestivamente qualsiasi incidente o anomalia, rispondere e contenere i danni quando accade un evento, e garantire la continuità operativa ripristinando i servizi essenziali nel minor tempo possibile. Tutto ciò va inserito all’interno di una governance chiara, in cui ruoli e responsabilità siano definiti (ad esempio, la creazione di team dedicati come i Computer Security Incident Response Team, piani di comunicazione con le autorità, ecc.). Nei paragrafi seguenti vediamo due aspetti importanti: il contributo delle tecnologie moderne e la necessità di una protezione “a 360 gradi” che consideri sia la sfera digitale sia quella fisica.
Il ruolo delle tecnologie: dall’intelligenza artificiale al monitoraggio
Le tecnologie emergenti giocano un ruolo sempre più decisivo nel proteggere le infrastrutture critiche, sia in fase preventiva sia durante la gestione di un’emergenza. In particolare, strumenti di Intelligenza Artificiale (IA) e machine learning vengono impiegati per analizzare grandi quantità di dati provenienti da sensori e sistemi, al fine di individuare pattern anomali e segnali di allarme precoci. L’integrazione dell’IA consente ai sistemi di monitoraggio di prevedere e mitigare i guasti sia sul versante informatico sia su quello fisico.
Accanto all’IA, anche l’IoT (Internet of Things) fornisce un contributo fondamentale: migliaia di sensori intelligenti distribuiti su ponti, oleodotti, centrali, etc., trasmettono dati in tempo reale sullo stato di salute dell’infrastruttura, permettendo di reagire immediatamente a qualsiasi valore fuori soglia. Tecniche di analisi video avanzata aiutano a sorvegliare fisicamente siti sensibili: ad esempio telecamere con riconoscimento automatico (anche qui con IA) rilevano movimenti sospetti o intrusioni in zone proibite.
In scenari complessi, si fa ricorso anche a droni per il monitoraggio di infrastrutture estese o difficilmente raggiungibili (oleodotti, linee elettriche in aree remote, dighe), dotati di termocamere e sensori per controllare lo stato degli impianti. Sul fronte strettamente informatico, le tecnologie essenziali includono sistemi di autenticazione forte (autenticazione a più fattori per accedere ai sistemi critici), strumenti di segmentazione delle reti (per separare la rete operativa OT dalla rete IT amministrativa e contenere eventuali infezioni), utilizzo diffuso della crittografia per proteggere i dati sensibili, e piattaforme integrate di Security Information and Event Management (SIEM) che aggregano e analizzano costantemente i log di sicurezza. In sintesi, l’innovazione tecnologica fornisce un arsenale di strumenti difensivi senza precedenti. Ovviamente la tecnologia da sola non basta: va accompagnata da competenze umane e procedure, ma costituisce la spina dorsale di una moderna strategia di protezione.
Come garantire la protezione fisica e cyber
Un principio fondamentale emerso negli ultimi anni è che la protezione delle infrastrutture critiche deve essere olistica, ovvero coprire a 360 gradi tutti gli aspetti di sicurezza, eliminando silos tra sicurezza informatica e sicurezza fisica. In passato queste due sfere venivano gestite separatamente (con personale e reparti distinti); oggi si è compreso che esse sono interdipendenti e devono operare in sinergia. Ad esempio, investire milioni in cyber security ha poco senso se poi un aggressore può entrare fisicamente in un data center o in una cabina elettrica perché manca una guardia o un controllo accessi: basta una porta lasciata aperta per aggirare anche il firewall più sofisticato.
Viceversa, blindare un sito con muri e recinzioni è inutile se un hacker può spegnere tutto da remoto seduto al computer. È necessario quindi implementare piani di sicurezza integrati. Ciò significa che per ogni infrastruttura critica si valutano sia le vulnerabilità fisiche (punti di ingresso non protetti, rischi di allagamento/incendio, guasti meccanici possibili, ecc.) sia le vulnerabilità digitali (porte di rete aperte, software non aggiornati, credenziali deboli, ecc.), e si mettono in atto contromisure coordinate in entrambi gli ambiti. Un esempio pratico di approccio integrato è il concetto di “difesa in profondità” che include più livelli: al perimetro fisico barriere e controlli (cancelli, videosorveglianza, sensori di movimento), poi al perimetro cyber firewall e sistemi di intrusion detection, e via via più internamente ulteriori filtri, segmentazioni e procedure di controllo degli accessi.
Tutti questi layer devono funzionare insieme per creare un sistema di difesa resiliente. Un altro pilastro della protezione a 360 gradi è la collaborazione tra attori: enti gestori delle infrastrutture, Forze dell’Ordine, CERT nazionali e altri organi devono condividere informazioni e allertarsi reciprocamente in caso di minacce. Gli scenari ibridi impongono risposte congiunte. Anche a livello aziendale, oggi molte realtà critiche istituiscono centri operativi unificati per la sicurezza (fusion center), in cui convergono sia dati cyber (es. alert del SOC informatico) sia dati fisici (es. allarmi antintrusione), per avere una visione completa della situazione.
Il quadro normativo e le best practice per le aziende
La sicurezza delle infrastrutture critiche non è lasciata alla sola buona volontà dei singoli gestori: esiste un quadro normativo ben preciso, sia a livello internazionale che nazionale, che impone obblighi e standard minimi di protezione. Parallelamente, negli anni si sono sviluppate best practice e standard tecnici riconosciuti globalmente, che guidano le aziende nel predisporre piani di sicurezza e continuità operativa adeguati. In questa sezione vedremo dapprima le principali normative vigenti – dalle direttive europee alla legislazione italiana – e in seguito alcune delle migliori pratiche da seguire, in particolare sul fronte della business continuity, essenziale per garantire la resilienza operativa.
Normativa nazionale e internazionale
A livello internazionale e soprattutto europeo, la protezione delle infrastrutture critiche è oggetto di una normativa sempre più stringente. L’Unione Europea ha mosso i primi passi in questo ambito con il programma EPCIP del 2006 e con la Direttiva 2008/114/CE, focalizzata inizialmente su energia e trasporti. Negli anni seguenti l’attenzione si è spostata molto sul versante cybersecurity, portando all’emanazione della prima direttiva NIS (Network and Information Security) nel 2016. La direttiva NIS ha introdotto per la prima volta obblighi di sicurezza informatica per gli Operatori di Servizi Essenziali (OSE) in settori come energia, trasporti, bancario, salute, infrastrutture digitali.
Vista però la rapida evoluzione delle minacce, l’UE ha aggiornato questa normativa con la nuova Direttiva NIS 2, entrata in vigore a gennaio 2023. La NIS 2 ha ampliato significativamente l’ambito di applicazione (coprendo in totale 18 settori, includendo ad esempio telecomunicazioni, spazio, fornitori cloud, pubblica amministrazione, gestione rifiuti, industria manifatturiera critica, ecc.) e imposto misure più rigorose di gestione del rischio e notifica degli incidenti. In base alla NIS 2, gli operatori di infrastrutture critiche e servizi essenziali devono implementare solide misure di cybersecurity e segnalare tempestivamente alle autorità nazionali ogni incidente informatico grave che li colpisce.
Contestualmente, l’UE ha varato anche la cosiddetta Direttiva CER (Critical Entities Resilience, Direttiva UE 2022/2557) che affronta il tema della resilienza fisica delle infrastrutture critiche e si applica a 11 settori essenziali, andando oltre i due (energia e trasporti) della vecchia direttiva 2008/114. La Direttiva CER, in vigore dal 2023, richiede agli Stati membri di adottare misure affinché le entità critiche siano protette da tutti i tipi di rischi (all-hazard approach).
Il framework italiano
In Italia, il quadro normativo ha recepito queste evoluzioni europee. Già nel 2019 il nostro Paese aveva istituito il cosiddetto Perimetro di sicurezza nazionale cibernetica (Legge n.133/2019), un insieme di misure per tutelare reti e sistemi ICT di interesse nazionale, strettamente collegato al tema delle infrastrutture critiche digitali. Più recentemente, l’Italia ha recepito la direttiva NIS 2 con il D.Lgs. 4 settembre 2024 n.138, affidando all’ACN (Agenzia per la Cybersicurezza Nazionale) il compito di individuare e notificare le entità soggette ai nuovi obblighi. Dal quarto trimestre 2024, dunque, la normativa NIS 2 è pienamente operativa anche da noi: le aziende che ricevono formale notifica di inclusione dovranno adeguarsi entro precisi termini (9 mesi per le procedure di gestione incidenti, 18 mesi per tutte le misure di sicurezza richieste) pena sanzioni severe.
In parallelo, è stato emanato il D.Lgs. 4 settembre 2024 n.134 per attuare la Direttiva CER sulla resilienza fisica. Questo decreto ha istituito un apposito Comitato Interministeriale per la Resilienza (CIR) presso la Presidenza del Consiglio, incaricato di coordinare le politiche di resilienza dei soggetti critici e di promuovere le migliori pratiche di sicurezza in tutti i settori.
Le migliori pratiche per la business continuity
Oltre a rispettare le leggi, gli operatori di infrastrutture critiche devono ispirarsi alle best practice internazionali per assicurare la business continuity, ossia la capacità di mantenere operativi i servizi essenziali anche durante eventi avversi. Due strumenti cardine sono il Piano di Continuità Operativa (Business Continuity Plan – BCP) e il Piano di Disaster Recovery (DR). Il BCP definisce come l’organizzazione garantirà la prosecuzione delle funzioni critiche durante una crisi (ad esempio facendo ricorso a siti alternativi, risorse di backup, procedure manuali temporanee). Il DR è focalizzato sul ripristino delle infrastrutture IT e dei dati dopo un disastro (con obiettativi di tempo di ripristino – RTO – e di perdita dati accettabile – RPO – chiaramente stabiliti).
Le best practice raccomandano di condurre un’accurata Business Impact Analysis (BIA) per identificare gli elementi critici e le priorità, valutare i rischi potenziali e sviluppare strategie di continuità su misura per i vari scenari (blackout, incendio, cyber attacco, ecc.). Una volta redatti, BCP e DR devono essere testati regolarmente tramite esercitazioni e simulazioni, così da verificarne l’efficacia e aggiornare eventuali lacune.
Oltre ai piani di continuità, altre pratiche cruciali includono l’implementazione del principio di redundancy (ridondanza): per ogni funzione critica dovrebbe esistere un backup o un’alternativa. Ciò vale sia per le componenti tecnologiche (es. server ridondati in siti geografici diversi, linee di comunicazione duplicate) sia per gli elementi umani e organizzativi (es. personale addestrato a sostituire figure chiave, fornitori secondari pronti in caso di indisponibilità del fornitore principale). Un’organizzazione resiliente non dipende mai da un singolo punto di falla.
Inoltre, è fondamentale la formazione del personale e la sensibilizzazione: ogni dipendente deve conoscere il proprio ruolo in caso di crisi, sapere come segnalare immediatamente un incidente e attenersi alle procedure di emergenza. Gli esperti consigliano di instaurare una vera cultura della sicurezza aziendale, in cui le buone pratiche (dall’igiene informatica al rispetto delle policy) siano interiorizzate a tutti i livelli. Infine, non bisogna trascurare le esercitazioni congiunte con soggetti esterni: molte infrastrutture critiche dipendono dalla collaborazione di più attori (es. un ospedale e la protezione civile, oppure un gestore elettrico e le forze di polizia).
Il futuro della protezione: sfide e prospettive
La sfida di proteggere le infrastrutture critiche è un percorso in divenire, che deve costantemente adattarsi ai cambiamenti del mondo moderno. Guardando al futuro, emergono nuove minacce all’orizzonte, ma anche nuove opportunità per migliorare la sicurezza. In questa conclusione analizziamo brevemente alcune delle sfide future più rilevanti e le possibili risposte, con un focus sull’evoluzione delle minacce e sull’integrazione sempre maggiore dei sistemi di sicurezza e resilienza.
L’evoluzione delle minacce: cosa aspettarsi
Le minacce alle infrastrutture critiche nei prossimi anni diventeranno con tutta probabilità più sofisticate e complesse. Sul versante cyber, ad esempio, si prevede un utilizzo crescente dell’Intelligenza Artificiale anche da parte degli aggressori: malware e attacchi potenziati da algoritmi di AI potrebbero imparare a evitare il rilevamento, identificare autonomamente punti deboli nei sistemi o generare false informazioni (deepfake) per ingannare i controlli di sicurezza. Inoltre, la iper-connettività portata dall’Internet of Things e dalle reti 5G/6G, pur offrendo benefici, allargherà ancora la superficie d’attacco: milioni di dispositivi smart aggiuntivi potrebbero costituire altrettante porte di ingresso se non adeguatamente protetti.
Anche le minacce fisiche evolveranno: ad esempio, l’uso di droni ostili per colpire infrastrutture sensibili è una realtà già intravista (si considerino i droni utilizzati per sabotare depositi petroliferi o linee elettriche in scenari di guerra non convenzionale). La mutata situazione geopolitica globale, con tensioni internazionali elevate, fa prevedere che gli attacchi sponsorizzati da Stati (cyber warfare) diventino più frequenti e incisivi. In generale, la guerra ibrida – che unisce operazioni militari convenzionali a operazioni cyber e di disinformazione – potrebbe divenire un paradigma standard nei conflitti futuri, ponendo le infrastrutture civili in prima linea come possibili bersagli. Infine, c’è il fattore climatico: l’aumento di eventi climatici estremi continuerà a mettere sotto stress reti energetiche, vie di trasporto e altre infrastrutture, richiedendo investimenti in adattamento e robustezza strutturale.
L’integrazione di sistemi di sicurezza e resilienza
Per far fronte a sfide così complesse, il futuro della protezione delle infrastrutture critiche passerà inevitabilmente da una maggiore integrazione: integrazione tra sistemi tecnologici diversi, integrazione tra misure di sicurezza e misure di resilienza, integrazione tra enti pubblici e soggetti privati. In altre parole, si mira a costruire un “sistema dei sistemi” di sicurezza, nel quale tutte le componenti collaborino armoniosamente. Assisteremo allo sviluppo di piattaforme sempre più unificate che combinano automazione, intelligenza artificiale e capacità autonome di resilienza: sistemi in grado non solo di rilevare e bloccare minacce, ma anche di attivare autonomamente contromisure e di autoripararsi ove possibile.
Già oggi si sperimentano reti elettriche intelligenti (smart grid) capaci di isolare la sezione danneggiata e rialimentare i clienti da percorsi alternativi in pochi secondi, o sistemi informatici che, in caso di compromissione, scattano a una modalità di emergenza limitata ma funzionale (degradazione controllata invece di collasso totale). Questa tendenza evolverà verso infrastrutture “auto-resilienti” per quanto la tecnologia lo consentirà.
Sul fronte organizzativo, l’integrazione significa abbattere barriere tra sicurezza fisica, cyber e gestione operativa. Un concetto emergente è la “sicurezza convergente”, in cui i team che tradizionalmente si occupavano separatamente di IT security, sicurezza sul campo e continuità operativa lavorano sotto un’unica regia, condividendo informazioni e strumenti. Ciò consente una visione olistica del rischio e una risposta coordinata. Un aspetto chiave sarà anche l’integrazione a livello sistemico nazionale: gli organismi di sicurezza (es. ACN, Forze dell’Ordine, intelligence, Protezione Civile) dovranno cooperare strettamente col settore privato gestore delle infrastrutture, magari attraverso partenariati pubblico-privati strutturati.
