Qualcosa sembra essersi incrinato nella percezione della sicurezza industriale. I numeri, presi superficialmente, potrebbero persino suggerire un miglioramento: gli attacchi cyber con conseguenze fisiche su infrastrutture critiche e sistemi industriali sono diminuiti.
Eppure, chi osserva il fenomeno con attenzione — operatori OT, analisti di threat intelligence, decisori pubblici — sa che questa lettura è fuorviante. Non siamo di fronte a una riduzione del rischio, ma a una sua trasformazione profonda.
Indice degli argomenti
Il report OT 2026: la minaccia diventa invisibile e strategica
Il più recente OT Cyber Threat Report 2026 di Waterfall Security e ICS STRIVE introduce infatti un messaggio chiave: la minaccia non sta diminuendo, sta diventando meno visibile, più sofisticata e soprattutto più strategica. Il dominio della cybersecurity industriale sta evolvendo rapidamente da terreno di opportunità per criminali a spazio operativo per attori statuali e conflitti ibridi.
Questo cambiamento ha implicazioni dirette per l’Europa, per l’Italia e per tutte le organizzazioni che gestiscono infrastrutture critiche o sistemi industriali automatizzati.
Incidenti in calo del 25%: un dato che inganna
Nel 2025 gli incidenti OT con impatti fisici documentati sono scesi del 25% rispetto all’anno precedente. Un dato che, isolato dal contesto, potrebbe essere interpretato come un segnale positivo.
Tuttavia, questa riduzione è dovuta principalmente a una temporanea contrazione delle attività ransomware, influenzata da fattori contingenti come operazioni di law enforcement, cambiamenti nei modelli di business criminale e dinamiche interne agli ecosistemi cybercriminali.
Il ransomware resta, ma cambia il contesto
Il punto è che il ransomware non è scomparso, né ha perso efficacia. Al contrario, rimane il principale vettore di attacco capace di generare impatti fisici reali, spesso attraverso la compromissione di sistemi IT da cui dipendono operazioni industriali.
Attori statuali e hacktivisti: il vero cambio di paradigma
La vera differenza è che, accanto a questa minaccia ormai consolidata, sta emergendo con sempre maggiore forza un’altra categoria di attori: stati-nazione e gruppi hacktivisti allineati a obiettivi geopolitici.
Nel 2025 gli attacchi attribuibili a questi attori sono raddoppiati. E a differenza del ransomware, non mirano al profitto, ma al risultato operativo. L’obiettivo non è cifrare dati, ma fermare produzione, destabilizzare supply chain, compromettere infrastrutture energetiche o logistiche. È qui che si consuma il vero cambio di paradigma.
Dalla criminalità al conflitto: l’OT come nuovo dominio geopolitico
Il cyberspazio industriale è ormai parte integrante delle dinamiche di conflitto internazionale. Gli eventi osservati nel 2025 lo dimostrano in modo inequivocabile. Attacchi a sistemi di difesa aerea, sabotaggi di infrastrutture logistiche, operazioni contro reti energetiche distribuite e manipolazioni di sistemi di navigazione sono tutti esempi di come il cyber venga utilizzato come strumento per produrre effetti nel mondo fisico.
Particolarmente emblematico è il caso dell’attacco al sistema energetico distribuito polacco, che ha coinvolto impianti eolici e solari. L’evento non ha causato blackout, ma è stato classificato come un “near miss” ad alto impatto potenziale. In altre parole, le capacità operative erano presenti, ma non sono state sfruttate fino in fondo. Questo tipo di incidente è forse ancora più preoccupante di un attacco riuscito, perché dimostra che le infrastrutture sono vulnerabili e che gli attori ostili stanno testando le loro capacità.
L’energia distribuita europea: un obiettivo sempre più esposto
Nel contesto europeo, questo scenario assume una rilevanza particolare. La crescente integrazione delle reti energetiche, la diffusione delle rinnovabili e l’interconnessione tra sistemi nazionali aumentano l’efficienza, ma introducono anche nuove superfici di attacco. Un attacco a un sistema distribuito in un paese può avere effetti a cascata su altri, creando vulnerabilità sistemiche.
La nuova superficie di attacco: interconnessione e dipendenze digitali
Uno degli elementi più rilevanti emersi nel report è che gli attacchi OT raramente colpiscono direttamente i sistemi industriali. Nella maggior parte dei casi, l’impatto fisico deriva da compromissioni indirette: sistemi IT da cui dipendono le operazioni, supply chain digitali, servizi cloud o input esterni come segnali GPS.
Questo fenomeno riflette una trasformazione strutturale delle architetture industriali. I sistemi OT non sono più isolati, ma integrati in ecosistemi digitali complessi, in cui la distinzione tra IT e OT è sempre più sfumata. Di conseguenza, la superficie di attacco reale non coincide con il perimetro dell’impianto, ma include fornitori, partner, piattaforme e fonti di dati esterne.
Supply chain e spoofing GPS: vettori di attacco spesso sottovalutati
Il caso Collins Aerospace, ad esempio, dimostra come la compromissione di un sistema software distribuito possa generare effetti operativi su larga scala, causando cancellazioni e ritardi nei voli per settimane. Analogamente, attacchi alla supply chain alimentare o logistica possono bloccare interi ecosistemi economici.
Un altro trend emergente riguarda la manipolazione degli input esterni. Incidenti legati allo spoofing GPS hanno causato deviazioni di navi e potenziali rischi per la sicurezza marittima. In questi casi, non è necessario compromettere il sistema di controllo: basta alterare i dati su cui il sistema si basa. Questo introduce una nuova dimensione del rischio, spesso sottovalutata.
Il problema della visibilità: quando i dati nascondono la realtà
Un elemento particolarmente critico evidenziato dal report è la crescente difficoltà di analizzare gli incidenti. Nel 2025, circa il 65% degli eventi pubblici non contiene informazioni sufficienti per determinare come l’attacco abbia prodotto l’impatto fisico. Le disclosure si limitano spesso ai requisiti minimi normativi, senza dettagli tecnici.
Questo fenomeno ha due implicazioni. Da un lato, riduce la capacità di apprendere dagli incidenti e migliorare le difese. Dall’altro, introduce un bias nelle statistiche: la diminuzione degli attacchi osservati potrebbe riflettere una diminuzione della trasparenza più che una reale riduzione degli eventi.
Attacchi latenti e compromissioni silenziose
In altre parole, una parte significativa della minaccia è invisibile. Gli attacchi non scompaiono, ma si spostano verso forme meno rilevabili: accessi persistenti, compromissioni latenti, preparazione di attacchi futuri. Questo rende ancora più difficile basare le strategie di sicurezza su dati storici.
Il limite del modello IT applicato alla sicurezza industriale
Di fronte a questo scenario, emerge con chiarezza un limite strutturale: il modello di cybersecurity ereditato dall’IT non è più sufficiente per proteggere ambienti industriali. Le difese tradizionali — firewall, antivirus, sistemi di detection — operano secondo una logica probabilistica: cercano di rilevare e bloccare gli attacchi.
Ma in ambito OT, dove le conseguenze possono essere fisiche, questo approccio non garantisce un livello di sicurezza adeguato. Non basta ridurre la probabilità di attacco, bisogna ridurre la possibilità stessa che determinate azioni possano essere eseguite.
Cyber-Informed Engineering: progettare la sicurezza, non aggiungerla
È qui che entra in gioco il concetto di Cyber-Informed Engineering, che rappresenta una delle innovazioni più significative degli ultimi anni. L’idea è semplice ma potente: integrare la sicurezza direttamente nella progettazione dei sistemi, in modo da eliminare intere classi di attacco.
Un esempio concreto è l’uso di gateway unidirezionali, che consentono il flusso di dati in una sola direzione. In questo modo, diventa tecnicamente impossibile utilizzare quella connessione per un attacco in senso opposto. Non si tratta di rilevare l’attacco, ma di renderlo impossibile.
Verso una sicurezza deterministica: i controlli “unhackable”
Il report introduce il concetto di controlli “unhackable”, ossia misure che, per loro natura, impediscono l’esecuzione di determinate azioni. Questo approccio rappresenta un cambio di paradigma rispetto alla sicurezza tradizionale, perché introduce un livello di determinismo.
In un sistema progettato correttamente, alcune operazioni semplicemente non possono avvenire, indipendentemente dalle capacità dell’attaccante. Questo è particolarmente rilevante in presenza di attori avanzati, come stati-nazione, che dispongono di risorse e competenze tali da superare difese basate su software.
Parallelamente, le linee guida del National Cyber Security Centre britannico sottolineano l’importanza della segmentazione hardware e della connettività sicura. L’isolamento tra sistemi non deve essere considerato un’eccezione, ma una componente fondamentale della sicurezza OT.
Il ruolo dell’Europa e dell’Italia: NIS2, PMI e cambio culturale
In questo contesto, l’Europa si trova in una posizione strategica ma anche vulnerabile. La direttiva NIS2 rappresenta un passo importante verso una maggiore armonizzazione della sicurezza delle infrastrutture critiche, ma la sua implementazione richiede un cambio culturale e tecnologico.
Per l’Italia, il tema è particolarmente rilevante. Il paese presenta un tessuto industriale diffuso, con un’elevata presenza di PMI e una crescente digitalizzazione dei sistemi produttivi. Questo crea opportunità, ma anche vulnerabilità.
La sfida non è solo tecnica, ma organizzativa. Le aziende devono passare da una visione della cybersecurity come costo o compliance a una visione strategica, in cui la sicurezza è parte integrante della resilienza operativa. Questo implica investimenti, ma soprattutto un cambio di mentalità.
Conclusioni: la sicurezza come progettazione, non come reazione
Il 2025 segna un punto di svolta nella cybersecurity OT. La diminuzione degli attacchi osservati non deve trarre in inganno. Il rischio non sta diminuendo, sta cambiando natura. Gli attacchi diventano meno visibili, più mirati e più integrati in dinamiche geopolitiche.
In questo scenario, la risposta non può essere incrementale. Non basta migliorare le difese esistenti, bisogna ripensare le architetture. La sicurezza deve essere progettata, non aggiunta. Deve essere deterministica, non probabilistica.
Per le organizzazioni, questo significa adottare un approccio olistico, che consideri l’intero ecosistema digitale e le interdipendenze operative. Significa investire in tecnologie e modelli che riducono la superficie di attacco in modo strutturale. E significa, soprattutto, riconoscere che la cybersecurity OT non è più un tema tecnico, ma una questione strategica, economica e, in ultima analisi, di sicurezza nazionale.
Il futuro delle infrastrutture critiche non dipenderà solo dalla loro efficienza, ma dalla loro capacità di resistere a un contesto di minaccia sempre più complesso e meno prevedibile. In questo senso, la vera innovazione non sarà l’attacco più sofisticato, ma la difesa progettata per non essere aggirata.
Riferimenti bibliografici
- Waterfall Security Solutions; ICS STRIVE. 2026 OT Cyber Threat Report. 2026.
- National Cyber Security Centre (NCSC). Principles for Secure OT Connectivity. UK Government, 2024–2025.
- Cybersecurity and Infrastructure Security Agency (CISA). Industrial Control Systems (ICS) Advisories and Guidance. U.S. Department of Homeland Security, aggiornamenti continui.
- MITRE Corporation. MITRE ATT&CK for Industrial Control Systems (ICS). Versione aggiornata, disponibile su https://attack.mitre.org
- U.S. Department of Energy. Cyber-Informed Engineering Strategy. 2022–2025.
- European Union Agency for Cybersecurity (ENISA). Threat Landscape for Industrial Control Systems. 2024–2025.
- European Union. Directive (EU) 2022/2555 (NIS2 Directive) on measures for a high common level of cybersecurity across the Union.
- Agenzia per la Cybersicurezza Nazionale (ACN). Linee guida per la sicurezza delle infrastrutture critiche e dei sistemi OT. Italia, aggiornamenti 2024–2025.
- International Organization for Standardization (ISO). ISO/IEC 27001:2022 – Information Security Management Systems.
- International Society of Automation (ISA). ISA/IEC 62443 Series – Industrial Automation and Control Systems Security.
- National Institute of Standards and Technology (NIST). NIST Cybersecurity Framework (CSF) 2.0. 2024.
- Dragos Inc. ICS/OT Cybersecurity Year in Review. 2025.
- Mandiant (Google Cloud). Global Threat Intelligence Report. 2025.
- IBM Security. Cost of a Data Breach Report. 2025.
- World Economic Forum. Global Cybersecurity Outlook. 2025.
