Nel maggio 2026, la situazione della sicurezza cibernetica delle infrastrutture critiche italiane ha raggiunto un punto di non ritorno. Il 66% dei leader IT teme blocchi ai servizi essenziali, e nella mia esperienza come System Administrator ho assistito al moltiplicarsi degli attacchi che sfruttano la convergenza tra ambienti IT e OT. Questo articolo è una riflessione operativa su come proteggere gli asset strategici di un’organizzazione in un contesto di guerra cibernetica in evoluzione.
La minaccia non è più teorica. L’attacco al sistema di pompe che protegge Piazza San Marco dall’acqua alta, avvenuto a Venezia, mostra chiaramente come un’infrastruttura critica possa essere bloccata anche senza danni fisici con conseguenze immediate sulla sicurezza e sulla continuità operativa della città. Ho visto organizzazioni impotenti di fronte a incidenti simili, paralizzate non da ransomware tradizionale, ma da manipolazioni silenziose dei sistemi OT.
Il Panorama Minacce 2026: Cyberwarfare e Intelligenza Artificiale
La cyberwarfare sta diventando uno strumento sempre più utilizzato; il 68% dei decision-maker IT ritiene che la crescente “weaponization” dell’intelligenza artificiale renderà il conflitto cyber una componente stabile della geopolitica globale. Non si tratta più di criminali disorganizzati, ma di operazioni coordinate con risorse statali.
Gli attacchi stanno diventando più organizzati, più automatizzati e più orientati al furto di dati sensibili, con gruppi che puntano sulla sottrazione delle informazioni, sulla pubblicazione dei dati e sulla pressione normativa. Nella mia pratica, ho rilevato che l’adozione di modelli avanzati ha ridotto il tempo medio di compromissione da ore a pochi secondi.
I criminali utilizzano l’IA per automatizzare il Social Engineering e creare malware polimorfici capaci di eludere le difese tradizionali. Questo significa che i vecchi sistemi di rilevamento basati su firme non sono più sufficienti.
La Convergenza OT/IT: Il Nodo Critico delle Infrastrutture Critiche
Negli ambienti industriali, dove IT e OT sono sempre più interconnessi, un attacco può tradursi rapidamente in un’interruzione operativa reale, con impatti diretti su produzione, servizi e sicurezza. Questo è il principale problema che affronto quotidianamente: le aziende collegano i sistemi di controllo industriale alle reti IT senza le adeguate protezioni.
Nel comparto Oil, Gas e Mining, il 68% delle organizzazioni ha registrato un aumento delle minacce negli ultimi sei mesi, mentre il costo dei ransomware supera spesso l’intero budget annuale di cybersecurity; negli ambienti industriali, un attacco può tradursi rapidamente in un’interruzione operativa reale.
Le cause sono strutturali. Aggiornare un dispositivo OT può comportare rischi operativi significativi: se qualcosa va storto, l’impianto si ferma e fermare un impianto può costare milioni al giorno. Ho visto aziende che lasciano vulnerabilità critiche esposte per evitare il downtime.
Una tecnica sofisticata è la cosiddetta data manipulation, che consiste nella modifica dei parametri operativi di un processo industriale; l’attacco non interrompe il sistema, ma ne altera il funzionamento; anche una minima variazione nei parametri porta a un difetto sistemico che può compromettere un’intera fornitura.
Defense-in-Depth: Architettura Strategica per 2026
Nella mia esperienza, una strategia di defense-in-depth efficace per infrastrutture critiche richiede almeno quattro strati di difesa:
1. Perimetral Security e Network Segmentation (Strato 1)
Il primo livello è la segmentazione di rete rigorosa. Network segmentation è il controllo di sicurezza che conta più di ogni altro in un ambiente manifatturiero convergente; ogni major framework centra il principio: dividere la rete in zone con distinti requisiti di sicurezza e controllare rigorosamente i condotti tra le zone.
Ho implementato questo su Plesk per infrastrutture critiche:
- DMZ perimetrale: server web e servizi utente esposti
- Zona IT centrale: database aziendali, email, file server con crittografia
- Zona OT segregata: SCADA, PLC, controller con una gateway one-way verso IT
- Zone di controllo avanzato: Safety Instrumented Systems (SIS) isolati via air-gap logico
La firewall rule che uso è:
Chain FORWARD (policy DROP)
# IT → OT: solo query di lettura, niente scrittura
-i eth0 -o eth1 -p tcp --dport 502 (Modbus) --state NEW -j ACCEPT
-i eth0 -o eth1 -p tcp --dport 20000 (DNP3) --state NEW -j ACCEPT
# OT → IT: bloccato completamente (air-gap)
-i eth1 -o eth0 -j DROP
# IT ↔ DMZ: rate-limited (DDoS mitigation)
-i eth0 -o eth2 -m limit --limit 100/min -j ACCEPT
2. Identity & Access Management Zero-Trust (Strato 2)
Ho già scritto su Windows 11 Patch e Identity-First Defense, ma per infrastrutture critiche il principio è ancora più rigoroso.
Gli Initial Access Broker vendono credenziali compromesse e accessi alle reti aziendali; anche gruppi meno tecnici possono avviare campagne ransomware partendo da accessi già pronti. Per questo, implemento:
- MFA hardware su tutti gli accessi OT (YubiKey USB, non TOTP)
- Privilege Access Workstation (PAW) segregate per operatori OT e IT
- Just-In-Time (JIT) access con approval workflow per modifiche di produzione
- Credential Guard abilitato su tutti i sistemi Windows (come approfondito nell’articolo linkato)
In Plesk Obsidian (di cui ho parlato anche in articoli precedenti su Zero-Trust API), ho configurato JWT token con lifetime massimo di 1 ora per le credenziali sensibili.
3. Detection & Threat Hunting (Strato 3)
Diventa essenziale sviluppare visibilità completa della superficie di attacco e adottare un approccio proattivo alla gestione dell’esposizione.
Ho impostato uno Stack SIEM con:
- Wazuh Agent su tutti i server critici (IT e OT)
- Honeypot OT: fake Modbus server che cattura enumeration di attaccanti
- Network TAP inline su link IT-OT per analisi deep packet inspection (DPI)
- Behavioral Baseline: profilo di normalità dei processi OT con alert anomaly
Le regole che utilizzo per rilevare data manipulation:
# Wazuh rule: detecta modifica parametri SCADA
<rule id="110001" level="7">
<match>register_write|coil_write</match>
<field name="destination_port">502</field>
<description>Possibile modifica parametri SCADA/OT</description>
<group>ot_manipulation</group>
</rule>
4. Incident Response Coordinato e Business Continuity (Strato 4)
Ho affrontato incidenti reali dove il tempo di containment era critico. Per infrastrutture critiche, questo significa:
- Air-gap procedures: protocolli per scollegare impianti critici in meno di 5 minuti
- Backup immutabili: copie offline ruotate settimanalmente su supporti rimovibili crittografati
- Recovery playbook per categoria: procedure diverse per ransomware vs data exfiltration vs data manipulation
- Crisis communication: notifica a fornitori e clienti entro 2 ore da dichiarazione di incidente
NIS2 Compliance e Investimenti PNRR: Obblighi Operativi
Il PNRR destina fondi per il miglioramento delle capacità difensive del Paese, con l’obiettivo di creare una vera e propria linea di difesa contro gli attacchi cyber verso le Pubbliche Amministrazioni e le aziende private.
Sono rafforzati i presidi di front-line per la gestione degli alert verso PA e imprese di interesse nazionale; sono costruite capacità tecniche di valutazione e audit continuo della sicurezza degli apparati e delle applicazioni utilizzate per l’erogazione di servizi critici.
Nella mia pratica, ho supportato aziende nel compliance framework NIS2 implementando:
- Risk Assessment annuale secondo ISO 27005
- SBOM (Software Bill of Materials) per tutti i componenti critici
- Vulnerability Disclosure Program con ricercatori di sicurezza indipendenti
- Supply Chain Risk Management: audit dei fornitori di software/hardware OT
AI come Arma Difensiva e Offensiva
L’AI è un fattore chiave su entrambi i fronti; consente agli attaccanti di aumentare velocità e scala delle operazioni, ma è anche uno strumento fondamentale per rafforzare le difese.
Ho iniziato a sperimentare fine-tuning di modelli LLM locali per anomaly detection in tempo reale. Un modello di DeepSeek V3 fine-tunato su log OT può rilevare pattern di attacco prima che causino danni.
FAQ – Domande Frequenti su Defense-in-Depth
Come faccio a sapere se la mia infrastruttura critica è vulnerabile a cyberwarfare?
Fai una vulnerability assessment: mapps tutti i tuoi dispositivi OT connessi, controlla l’ultimo firmware update (se risale a più di 6 mesi fa sei a rischio), verifica se OT e IT sono segmentati (chiediti: posso scollegare l’OT dall’IT senza rompere la produzione?). Il costo medio di un ransomware ha raggiunto gli 8,29 milioni di euro nel 2025, superando il budget di sicurezza per oltre la metà delle aziende—la prevenzione costa meno dell’incidente.
Cosa fare se ho ancora sistemi OT air-gapped in una rete?
È la configurazione ideale. Mantienila. Se devi collegarli per telemetry o analytics, usa una unidirectional security gateway che permette solo flusso dati verso IT, mai comandi verso OT. Implementa strong encryption end-to-end e monitora ogni pacchetto che attraversa il ponte.
Quali sono gli strumenti open source migliori per monitoring OT?
Usate Wazuh (SIEM), Zeek (network monitoring), e Snort 3 con custom rules per Modbus/Profibus. Per infrastrutture critiche consiglio Nozomi Networks (commerciale ma specializzato su OT) associato a questi tool open. Ho visto piccole aziende fare ottimi risultati combinando Wazuh + Zeek + custom Python per anomaly detection sui flussi SCADA.
Come gestisco il patching di sistemi OT critici senza fermo produzione?
Piano di patching scaglionato: identifica quale 20% dei tuoi impianti puoi aggiornare senza impatto, esegui patching lì, testi, raccogli lesson learned, poi procedi ai restanti. Usa canary deployment: applica update a un’istanza di produzione in replica offline, verifica per 72 ore, poi applica a produzione. I sistemi vengono aggiornati meno frequentemente o i processi di patching non sono tempestivi—questa è una vulnerabilità critica.
Cosa intendi per “data manipulation” negli attacchi OT e come la rilevo?
Data manipulation significa che un attaccante modifica i setpoint di un controller SCADA, i parametri di una pompa, le tolleranze di una macchina CNC. Non blocca il sistema, ma lo fa produrre componenti difettosi. La rilevo monitorando: 1) cambi non autorizzati di parametri, 2) anomalie nella sequenza di istruzioni Modbus, 3) deviazioni da baseline di processo (se una pompa ha sempre erogato 100L/min e improvviso scende a 85L/min, alert).
Conclusione: La Resilienza Come Strategia
Nel 2026, la protezione delle infrastrutture critiche da ransomware e cyberwarfare OT/IT convergenti non è un progetto IT, è una strategia aziendale. La resilienza passa dalla capacità di anticipare il rischio; le organizzazioni possono ottenere visibilità completa degli ambienti IT, OT e IoT e comprendere come gli asset sono collegati tra loro per intervenire prima che una vulnerabilità diventi incidente.
La defense-in-depth—segmentazione, identità zero-trust, detection avanzata, incident response coordinato—non è perfetta, ma rende un attacco così costoso in tempo e risorse che i threat actor si rivolgono a bersagli meno difesi. Nella mia esperienza di pentesting, ho visto organizzazioni che implementavano anche solo il 60% di questi principi ridurre drasticamente il loro risk profile.
Il PNRR offre finanziamenti, le normative NIS2 impongono standard, le minacce geopolitiche accelerano gli attacchi: non è più il momento di procrastinare. Inizia da segmentazione e visibility, aggiungi identity e threat hunting, costruisci incident response coordinato. Non in sei mesi, ma entro la fine dell’anno.
Se gestisci infrastrutture critiche e vuoi discutere di una strategia defense-in-depth per il tuo ambiente, contattami: nella mia esperienza, ogni organizzazione ha una vulnerabilità strutturale che conosce ma rimanda di affrontare. Smetti di rimandare.