La cybersecurity applicata alle tecnologie operative (OT) sta vivendo una fase di profonda evoluzione. L’edizione 2025 del Global State of Operational Technology and Cybersecurity Report di Fortinet offre uno spaccato particolarmente significativo di questa trasformazione, evidenziando come la protezione degli ambienti industriali stia diventando sempre più una priorità strategica per le organizzazioni, in tutto il mondo.
In un contesto segnato da una crescente esposizione alle minacce informatiche e una convergenza accelerata tra domini IT e OT, oltre che da tensioni geopolitiche persistenti, le imprese più lungimiranti stanno adottando approcci integrati e strutturati, ridefinendo le proprie priorità in materia di sicurezza.
Indice degli argomenti
Leadership e governance: l’OT entra stabilmente nella C-suite
Uno dei segnali più evidenti di maturazione del settore è il cambiamento nella governance della sicurezza OT. Mentre in passato gli ambienti industriali venivano spesso gestiti in modo isolato rispetto all’infrastruttura IT, oggi si osserva una sempre maggiore integrazione a livello decisionale. Più della metà (52%) delle organizzazioni dichiara che il CISO/CSO è responsabile dell’OT, rispetto al 16% del 2022, mentre il 95% afferma che la responsabilità dell’OT ricade nella C-suite, rispetto al 41% del 2022. Inoltre, la quota di organizzazioni che prevedono di trasferire la responsabilità della cybersecurity OT al CISO nei prossimi 12 mesi è aumentata dal 60% all’80% nel 2025. Questi dati indicano un’evoluzione profonda nel modo in cui la cybersecurity OT viene percepita e gestita a livello globale: non più un ambito tecnico secondario, ma un’estensione della strategia aziendale di protezione degli asset critici.
L’inserimento della sicurezza OT nel perimetro decisionale della C-suite rappresenta anche un segnale di maggiore consapevolezza dei rischi connessi alla digitalizzazione industriale. La presenza del CISO nella supervisione dell’OT consente di applicare criteri di gestione del rischio coerenti tra ambienti IT e OT, favorendo l’adozione di policy integrate e standard condivisi. Inoltre, tale approccio permette una gestione centralizzata delle minacce e una più efficace orchestrazione delle risorse, riducendo i silos organizzativi che storicamente ostacolavano una protezione ottimale.
Maturità operativa e impatto degli attacchi OT
Il report mette in luce una relazione diretta tra la maturità delle strategie di sicurezza OT e la capacità di mitigare gli effetti degli attacchi informatici. Le organizzazioni che si collocano al livello più alto di maturità – ossia quelle che presentano uno stato di miglioramento continuo, caratterizzato da linee guida di sicurezza documentate, utilizzo di threat intelligence e cicli di feedback costanti che contribuiscono a rafforzare progressivamente la postura di sicurezza – registrano una maggiore resilienza operativa. Questo dato emerge in modo chiaro anche dall’analisi degli incidenti: sebbene quasi una su due abbia subito almeno un’intrusione nell’ultimo anno, la quota di organizzazioni che ha subito interruzioni operative con impatti diretti sui ricavi è scesa al 42%, rispetto al 52% dei 12 mesi precedenti.
Tale riduzione non va letta come una diminuzione della minaccia, bensì come un miglioramento della capacità delle imprese di assorbire l’impatto degli attacchi. In altri termini, l’aumento della maturità operativa ha permesso di contenere i danni e di ridurre la vulnerabilità sistemica. È quindi evidente come la resilienza OT non sia un concetto astratto, ma il risultato tangibile di scelte tecnologiche, organizzative e culturali coerenti.
Best practice per la cybersecurity OT
Tra gli elementi più rilevanti messi in evidenza dal report di Fortinet vi è l’adozione sempre più diffusa di buone pratiche di sicurezza che rafforzano la postura complessiva delle organizzazioni a livello globale. Le imprese che investono nella formazione del personale, nella segmentazione delle reti OT, nella razionalizzazione del numero di fornitori e nell’uso sistematico della threat intelligence sono quelle che mostrano una maggiore capacità di prevenzione e risposta.
Particolarmente significativo è l’aumento dell’integrazione della threat intelligence specificamente orientata all’ambiente OT, cresciuta del 49% rispetto all’anno precedente, il che dimostra una crescente consapevolezza del fatto che, per difendersi in modo efficace, non basta conoscere le vulnerabilità interne, ma occorre anche monitorare attivamente il contesto esterno e adattarsi alle minacce emergenti. In parallelo, la scelta di ridurre il numero di fornitori OT, intrapresa dal 78% delle organizzazioni, si traduce in una minore complessità gestionale, migliorando così il controllo e la trasparenza dei flussi operativi.
Focus EMEA: regione sotto pressione, ma tra le più avanzate
L’area EMEA (Europa, Medio Oriente e Africa) si conferma tra le più avanzate al mondo in termini di maturità della sicurezza OT, ma è al contempo una delle più esposte e sotto attacco. Le organizzazioni dell’area hanno compiuto progressi significativi nella strutturazione delle proprie strategie di protezione, dimostrando una visione evoluta della cybersecurity industriale.
Attualmente, il 60% delle organizzazioni EMEA ha già assegnato la responsabilità della sicurezza OT a figure apicali come il CISO o il CSO, e il 96% prevede di completare questo passaggio entro i prossimi 12 mesi. Inoltre, il 59% ha raggiunto il livello più alto del modello di maturità, il che significa che i processi di cybersecurity vengono costantemente migliorati attraverso i feedback provenienti dai processi esistenti, inclusa l’ottimizzazione e l’automazione della threat intelligence e della gestione degli incidenti.
Ma accanto a questi segnali di maturità, si registra anche un’intensificazione delle minacce. L’EMEA è tra le aree che riportano il maggior numero di intrusioni: una quota non trascurabile di organizzazioni, il 13%, ha subito più di sei attacchi nell’ultimo anno, con una piccola ma significativa percentuale, il 2%, che ha registrato oltre dieci violazioni. Le tecniche di attacco più diffuse includono il phishing, il business email compromise, i ransomware (inclusi i wiper), i malware tradizionali e gli attacchi distribuiti di tipo DDoS. La varietà e la persistenza di queste minacce confermano quanto l’area sia percepita come target ad alto valore dai gruppi di cybercriminali.
Le conseguenze di questi attacchi sono tutt’altro che marginali. In EMEA, la metà delle organizzazioni colpite ha subito interruzioni operative significative, mentre oltre un terzo ha registrato perdite economiche dirette. Un altro 39% ha denunciato la sottrazione di dati riservati o proprietà intellettuali, e il 38% ha riscontrato impatti sulla sicurezza fisica di impianti e personale. Questi dati non solo confermano la gravità del fenomeno, ma rafforzano la necessità di un approccio olistico e continuo alla gestione del rischio.
Cultura della sicurezza: il valore della formazione e del testing continuo
Una delle risposte più efficaci messe in campo dalle imprese dell’area EMEA riguarda il rafforzamento della cultura aziendale della sicurezza. Il 64% delle organizzazioni ha introdotto programmi strutturati di formazione per il personale operativo, finalizzati a sviluppare comportamenti proattivi e a sensibilizzare sulle dinamiche delle minacce cyber. Inoltre, il 67% ha sistematizzato l’uso di penetration test con report periodici indirizzati al management, trasformando il testing da attività sporadica a strumento permanente di verifica e miglioramento.
Questi interventi non solo aumentano la preparazione tecnica degli operatori, ma contribuiscono a integrare la sicurezza nei processi decisionali, trasformandola in un asset trasversale e condiviso. La formazione, la simulazione e l’analisi post-evento diventano così pilastri fondamentali per costruire resilienza organizzativa.
Verso un nuovo paradigma di sicurezza industriale
Le evidenze del report di Fortinet suggeriscono quindi un’evoluzione positiva della cybersecurity OT a livello globale, ma non priva di sfide. Le minacce continuano a crescere in sofisticazione e frequenza, i confini tra IT e OT si fanno sempre più porosi e la superficie d’attacco si estende lungo l’intera supply chain digitale. In questo scenario, diviene fondamentale per le aziende adottare un approccio di cybersecurity integrato e consapevole, orientato al futuro.
Visibilità degli asset OT
Il primo passo è garantire piena visibilità sugli asset OT, per identificare tutto ciò che è connesso alla rete e applicare controlli compensativi mirati sui dispositivi critici e vulnerabili, con strumenti in grado di analizzare protocolli industriali, interazioni tra sistemi e comportamenti degli endpoint. A questo si affianca la segmentazione della rete, che, seguendo standard come l’ISA/IEC 62443, permette di creare barriere efficaci tra sistemi IT e OT, riducendo il rischio di propagazione degli attacchi.
Integrazione OT in SecOps
L’integrazione dell’OT nei processi di Security Operations (SecOps) e risposta agli incidenti rappresenta un ulteriore elemento chiave: solo includendo l’OT nei playbook e nella gestione del rischio è possibile valutare correttamente le minacce e garantire una collaborazione efficace tra team IT, OT e di produzione.
Servizi di threat intelligence per OT
Data la crescente complessità delle architetture di sicurezza, inoltre, le organizzazioni sono chiamate ad adottare una piattaforma unificata che consenta una gestione centralizzata e semplificata della sicurezza, riducendo il carico operativo e migliorando l’efficienza. Infine, la protezione dell’OT deve essere supportata da servizi di threat intelligence dedicati, capaci di fornire dati aggiornati e contestualizzati sulle minacce emergenti, preferibilmente potenziati dall’intelligenza artificiale per risposte rapide e mirate.
Governance centralizzata per la cybersecurity OT
L’adozione di modelli di governance centralizzati, l’aumento della maturità operativa e l’attenzione crescente alla formazione dimostrano che un numero crescente di organizzazioni ha compreso la portata strategica della cybersecurity OT.
Ora, è fondamentale proseguire in questa direzione: la protezione degli ambienti industriali non è più una questione tecnica, ma un tema di business continuity, reputazione e competitività. E, se parliamo di sicurezza della infrastrutture critiche in Italia, di salvaguardia dell’intero sistema Paese.
