La digitalizzazione delle fabbriche ha reso la cyber security industriale una priorità strategica, non più confinata ai sistemi IT ma estesa ai macchinari, ai sensori e alle piattaforme operative connesse.

La sfida per le imprese manifatturiere non è solo proteggere le reti, ma gestire la crescente interdipendenza tra Information Technology (IT) e Operational Technology (OT), un ecosistema dove vulnerabilità e normative si intrecciano.

Ne ha parlato Massimiliano Colombo, Senior Cybersecurity Advisor di Cefriel, in occasione dell’evento dedicato alla sicurezza industriale, mettendo in luce come la vera difficoltà per le imprese stia oggi nel «decodificare un contesto complesso e in continua evoluzione».

L’equilibrio fragile tra IT e OT

Nel mondo della cyber security industriale, la distinzione tra IT e OT rappresenta ancora oggi un punto critico.

I sistemi OT sono autonomi, isolati, autonomi ed eseguiti su software proprietari. Al contrario, i sistemi IT sono connessi, non hanno autonomia e sono generalmente eseguiti su sistemi operativi (Linux, Windows, Mac Os).

L’IT inoltre tutela la confidenzialità, integrità e disponibilità dei dati; l’OT, invece, privilegia la continuità operativa e il controllo dei processi.

Queste priorità spesso divergenti creano zone grigie dove si annidano i principali rischi.
Come spiega Colombo, la vera ambizione sarebbe quella di costruire «una cyber security aziendale integrata», capace di unire i due mondi. Ma la convergenza tecnologica, che coinvolge Industrial Control System (ICS), MES, SCADA, PLC e l’ecosistema dell’Industrial IoT, moltiplica le superfici d’attacco e amplifica gli effetti di ogni vulnerabilità.

L’integrazione dei sistemi di produzione con la rete aziendale – necessaria per monitorare, analizzare e ottimizzare i processi – apre nuovi varchi che i criminali informatici sanno sfruttare con crescente efficacia. La conseguenza, osserva Colombo, è che «gli attacchi non distinguono più tra IT e OT, ma attraversano entrambi i domini», mettendo in discussione la continuità produttiva e la sicurezza fisica degli impianti.

AI e nuove minacce lungo la filiera

Nel panorama attuale, l’intelligenza artificiale è al tempo stesso un’opportunità e un acceleratore di rischio. Colombo sottolinea che l’AI «riduce il coefficiente di creatività richiesto ai cyber criminali», consentendo loro di sviluppare attacchi più mirati e personalizzati, come spear phishing generati da modelli linguistici avanzati.

Questo mutamento rende particolarmente vulnerabili le filiere produttive, dove la connessione tra fornitori, costruttori e utilizzatori finali amplifica gli effetti di un singolo punto debole.

L’esperto di Cefriel cita un esempio emblematico: una telecamera termica vulnerabile utilizzata per monitorare la temperatura di un forno industriale. Un attacco su quel dispositivo, spiega, può «alterare i dati di misura e compromettere l’intero processo produttivo», generando effetti a catena difficili da rintracciare.

È il caso del cosiddetto supply chain poisoning, una strategia che colpisce la catena del valore sfruttando le connessioni digitali tra aziende partner. Gli attacchi, un tempo confinati al furto di dati o all’interruzione dei sistemi informatici, oggi mirano a manipolare i comportamenti delle macchine stesse.

La frontiera del rischio, quindi, non è più soltanto informatica ma cibernetico-operativa.

Il peso delle normative europee nella cyber security industriale

A questa complessità tecnologica si aggiunge quella normativa. Secondo Colombo, «le aziende fanno fatica a orientarsi in un panorama di direttive e regolamenti che si sovrappongono e si influenzano a vicenda».

Tre sono le normative europee che più direttamente impattano sulla cyber security industriale: la Direttiva NIS 2, che estende gli obblighi di sicurezza a un numero crescente di settori, inclusa la manifattura, e impone requisiti di governance, gestione del rischio e notifica degli incidenti. La seconda, il Cyber Resilience Act (CRA), introduce requisiti di cybersecurity by design per tutti i prodotti con elementi digitali.

L’ultima direttiva, il nuovo Regolamento Macchine, per la prima volta lega la sicurezza funzionale (safety) alla sicurezza informatica (security).

Come evidenzia Colombo, le tre normative «non sono compartimenti stagni, ma sistemi interdipendenti». Un costruttore di macchine utensili connesse, ad esempio, dovrà rispettare sia il CRA sia il Regolamento Macchine, integrando requisiti di prodotto e di processo.

Questo intreccio impone alle imprese di armonizzare compliance, progettazione e governance, pena non solo sanzioni, ma veri e propri blocchi operativi.

Dal rischio normativo alla resilienza economica

Le sanzioni previste dalle nuove direttive sono rilevanti, ma non rappresentano – sottolinea Colombo – «il rischio principale per un’impresa». Più che l’inadempienza formale, la minaccia più concreta è l’incapacità di sopravvivere a un attacco informatico che paralizza la produzione o altera la qualità dei prodotti.

L’esperto lega i temi di sicurezza digitale e sostenibilità economica. Le banche, ricorda, stanno iniziando a considerare il livello di protezione cyber come indicatore di resilienza, seguendo lo stesso principio che oggi regola i prestiti legati alla sostenibilità ambientale.

Colombo cita un titolo significativo apparso nel maggio 2025: «Soldi ai cyber protetti». Un segnale di come il mercato finanziario stia riconoscendo la sicurezza come fattore di continuità e affidabilità industriale.

Norme, standard e maturità cyber

Per orientarsi nella complessità, le imprese possono contare su standard tecnici consolidati. Colombo ricorda che «il mondo delle best practice non nasce con le normative», ma esiste da anni e offre una base concreta per interpretare i requisiti europei.

La serie ISO/IEC 27000 rimane il riferimento per la sicurezza IT, mentre la IEC 62443 definisce le pratiche per la protezione dei sistemi OT. A questi si aggiunge la norma armonizzata prEN 5742, in fase di sviluppo, che servirà da ponte tra il nuovo Regolamento Macchine e i requisiti tecnici di prodotto.

Colombo cita anche il NIST Framework, utile per valutare i livelli di maturità cyber di un’organizzazione, e distingue tra hard law (le norme cogenti come NIS 2 o CRA) e soft law (standard e linee guida tecniche).

L’obiettivo, spiega, è aiutare le imprese a individuare «il gap tra lo stato attuale e il livello di sicurezza necessario», per poi pianificare interventi mirati in base alla propria esposizione e ai rischi effettivi.

Verso una cyber security industriale integrata

L’evoluzione normativa e tecnologica sta spingendo le aziende verso un modello di cyber security industriale integrata, dove la protezione dei dati e quella dei processi produttivi non possono più essere separate. Il percorso non è lineare: «È un cammino di convergenza», osserva Colombo, «che dovrà adattarsi a nuove tecnologie e nuovi paradigmi, come l’intelligenza artificiale o gli agenti autonomi».

L’obiettivo finale è la resilienza, intesa come capacità di resistere, reagire e adattarsi a minacce in continua trasformazione. Non si tratta solo di difendere, ma di costruire un’architettura industriale capace di sopravvivere e continuare a produrre anche sotto attacco.