Le minacce di cybersecurity OT non sono più scenari da convegno: secondo un recente report, il 94% delle aziende intervistate dichiara di essere stato minacciato da incidenti cyber OT nell’ultimo anno, e nel 98% dei casi gli attacchi IT hanno avuto impatto anche sugli ambienti industriali.
Numeri così alti non riguardano solo le grandi utility o le infrastrutture critiche: parliamo anche di fabbriche “normali”, dove PLC vecchi di vent’anni, VPN aperte ai fornitori e sensori IoT non protetti convivono con ERP, MES e piattaforme cloud. Sulla carta l’azienda “ha già l’IT che si occupa di sicurezza”; nella pratica, però, molte di queste minacce nascono e crescono fuori dal radar del team IT.
Il motivo è un mix esplosivo: sistemi OT progettati per restare accesi, non per essere aggiornati; reti di stabilimento cresciute per stratificazioni, senza un’architettura di sicurezza; accessi da remoto d’emergenza diventati permanenti; e una distanza culturale tra chi gestisce l’ufficio e chi gestisce la produzione.
In questo articolo vedremo quali sono le 6 minacce OT più sottovalutate nelle fabbriche moderne e perché l’IT spesso non le vede arrivare, con esempi concreti, impatti sul business e indicazioni pratiche per iniziare a colmare il divario tra sicurezza IT e sicurezza OT.
Sicurezza OT: 3 motivi per cui le minacce informatiche nelle fabbriche sfuggono all’IT
Negli ultimi anni il volume e la complessità delle minacce informatiche nelle fabbriche sono esplosi: in Europa, nel solo secondo semestre 2023, quasi un computer ICS su tre (30,9%) è stato oggetto di almeno un tentativo di attacco, il valore più alto degli ultimi quattro anni.
E ancora: in molti casi gli attacchi partono dall’IT e poi “scendono” verso l’OT come dimostra un report sull’OT security che evidenzia come nel 78% degli incidenti OT l’origine è nella rete IT aziendale.
Questi numeri spiegano bene un paradosso: la sicurezza OT è oggi uno dei punti più critici dell’industria, ma molte di queste minacce non vengono intercettate in tempo perché non rientrano nei radar, nei processi e negli strumenti dell’IT tradizionale.
1.La distanza culturale tra IT e OT
IT e OT nascono con obiettivi diversi.
- L’IT si occupa di dati: confidenzialità, integrità e disponibilità (il classico modello CIA).
- L’OT si occupa di processi fisici: continuità operativa, sicurezza di persone e impianti, stabilità delle linee.
Questo significa che, mentre l’IT ragiona in termini di patch, hardening e rotazione delle credenziali, chi lavora in produzione ragiona in termini di “non posso fermare l’impianto”.
Il risultato è un gap culturale:
- l’IT tende a considerare le reti di stabilimento come un segmento in più da proteggere;
- l’OT tende a vedere la sicurezza come qualcosa che rischia di rallentare o bloccare la produzione.
In mezzo, le minacce cybersecurity OT crescono in silenzio: configurazioni lasciate “temporaneamente” aperte, accessi di emergenza mai richiusi, sistemi mai aggiornati perché “funzionano così da 15 anni”.
2.Architetture nate per essere isolate, oggi esposte (senza che l’IT lo sappia)
Molti sistemi OT – PLC, SCADA, DCS – sono stati progettati per ambienti chiusi e isolati, non per Internet o per l’integrazione con cloud, ERP o piattaforme di analisi dati.
Con l’Industria 4.0 e 5.0:
- Si sono aggiunti gateway, sensori IoT industriali, sistemi di teleassistenza;
- Molti impianti sono stati collegati “in fretta” per esigenze di produzione, manutenzione remota o monitoraggio energetico;
- Spesso la documentazione non è aggiornata e l’inventario degli asset OT è incompleto.
L’IT si trova quindi a gestire una rete che non vede davvero: segmentazioni logiche solo sulla carta, VLAN configurate anni prima, tunnel VPN aperti verso fornitori e system integrator che nessuno presidia in modo strutturato.
In pratica, una parte significativa dell’OT security è “ombra”: esiste, è connessa, ma non rientra nei normali processi di vulnerability management, logging e monitoring IT.
3.KPI diversi, priorità diverse: perché l’IT non vede arrivare gli incidenti OT
Un altro motivo per cui l’IT non intercetta (o intercetta tardi) gli incidenti OT sta nei KPI su cui vengono misurati i due mondi:
- L’IT viene valutato su uptime dei servizi digitali, protezione dei dati, conformità alle policy.
- L’OT viene valutato su OEE, produttività, fermi linea, qualità del prodotto, sicurezza fisica.
Di conseguenza:
- Un rallentamento dovuto a controlli di sicurezza può essere visto in fabbrica come un problema, non come una protezione;
- Molti eventi che, in ambito IT, sarebbero “incidenti” (es. anomalie di comunicazione tra PLC, inspiegabili stop & go di un impianto) vengono gestiti come semplici problemi tecnici o di processo, senza mai arrivare al SOC o al team di cybersecurity OT.
Nel frattempo, normative come NIS2 stanno allargando il perimetro degli obblighi proprio verso gli ambienti OT, riconoscendo che l’integrazione IT/OT moltiplica la superficie d’attacco e amplifica l’impatto operativo degli incidenti.
Minaccia n.1: sistemi legacy e PLC non aggiornati che indeboliscono la cybersecurity OT
La prima e più diffusa fragilità nella cybersecurity OT riguarda la presenza massiccia di sistemi legacy: PLC datati, SCADA fuori supporto, server industriali con versioni obsolete di Windows che non possono essere patchati senza fermare la produzione.
Si tratta di un rischio tutt’altro che astratto. Secondo il report TXOne del 2024, il 38% delle aziende OT ha subito incidenti legati a vulnerabilità non patchate, e quasi la metà (47%) ha affrontato almeno un attacco ransomware in ambito OT/ICS nello stesso anno.
Dati confermati anche da Kaspersky ICS-CERT, che nel 2024 ha registrato fino al 32,4% di computer ICS esposti a minacce bloccate a livello globale.
Il motivo è semplice: molti sistemi OT sono stati progettati per durare 10–20 anni e per garantire continuità operativa, non per essere regolarmente aggiornati. Con l’avvento dell’Industria 4.0, però, questi dispositivi oggi sono connessi a reti aziendali, gateway IoT, cloud e strumenti di teleassistenza che ne amplificano la superficie d’attacco. Le fabbriche si ritrovano così con componenti critici esposti a minacce moderne, pur essendo stati costruiti in un’epoca in cui la cyber security non era un requisito progettuale.
A peggiorare il quadro c’è l’aumento costante delle vulnerabilità ICS: i CISA ICS Advisories hanno registrato negli ultimi anni un incremento significativo di CVE critiche che riguardano firmware, protocolli di comunicazione e software di automazione industriale.
Un singolo PLC vulnerabile può diventare un punto d’ingresso privilegiato per manipolare parametri di processo, interrompere una linea produttiva o causare danni fisici a macchinari e operatori.
Ed è qui che emerge il problema centrale: perché l’IT spesso non vede arrivare questa minaccia.
La risposta sta:
- Nella mancanza di un inventario completo degli asset OT,
- Nell’assenza di vulnerability management specifico per i sistemi industriali,
- Nella pressione operativa che porta l’OT a rimandare qualsiasi patch che possa comportare un fermo impianto.
In altre parole, ciò che non compare nei IT dashboard finisce per non essere considerato un rischio reale, anche se in produzione rappresenta il perimetro più fragile.
Non sorprende, quindi, che il manifatturiero sia uno dei settori più colpiti dagli attacchi cyber: nel 2023 ha rappresentato oltre un quarto degli incidenti globali, segnando un trend che continua nel 2024 e nel 2025.
Minaccia n.2: l’accesso remoto OT come porta d’ingresso privilegiata per gli hacker
Con l’aumento della connettività industriale, l’accesso remoto OT è diventato uno degli elementi più critici della sicurezza OT. Oggi quasi tutte le fabbriche consentono ai fornitori, ai manutentori o ai tecnici dell’automazione di collegarsi da remoto ai sistemi di controllo, spesso tramite VPN condivise, credenziali statiche o strumenti di teleassistenza installati nel tempo senza un vero processo di sicurezza.
Il risultato è un paradosso molto diffuso: per semplificare la manutenzione, si apre un varco permanente verso l’impianto, un varco che in molti casi non è gestito dall’IT, non è monitorato e non è nemmeno documentato correttamente. Secondo il report Fortinet 2024, il 74% delle organizzazioni OT ha subito un incidente legato a un accesso remoto compromesso o non autorizzato, una percentuale in aumento costante dal 2022.
La causa è duplice.
Da un lato, la pressione produttiva spinge a mantenere operativi questi canali di emergenza, che col tempo diventano permanenti.
Dall’altro, molti fornitori usano strumenti proprietari o soluzioni cloud che sfuggono completamente al perimetro di controllo dell’IT. In alcune realtà, un solo account VPN, condiviso tra più tecnici esterni, consente accesso diretto a intere celle di produzione: un singolo punto di compromissione in grado di aprire la strada a ransomware, manomissioni di processo o movimenti laterali verso sistemi critici.
Gli hacker conoscono bene questa debolezza. Come documentano diversi incidenti pubblicati nei rapporti CISA e ENISA, le sessioni remote OT sono tra i vettori iniziali più facili da sfruttare, soprattutto quando mancano MFA, log completi, controllo delle sessioni o soluzioni di accesso privilegiato specifiche per l’OT.
Ma perché l’IT non intercetta il problema?
Perché, nella maggior parte dei casi, questi accessi non transitano attraverso le infrastrutture IT ufficiali: sono stati creati anni prima, magari da un system integrator con esigenze operative immediate, e non sono stati integrati nei processi standard di governance, auditing e gestione delle identità. La fabbrica finisce quindi per avere un secondo perimetro, sconosciuto all’IT ma perfettamente noto agli hacker.
L’aspetto più critico, però, è l’impatto operativo. A differenza dell’IT, dove un accesso compromesso mette a rischio dati e applicazioni, nell’OT un accesso remoto non controllato può consentire la manipolazione diretta dei processi fisici. E questo significa potenziali fermi linea, difetti produttivi, danni ai macchinari o rischi per gli operatori.
Minaccia n.3: dispositivi IoT e sensori industriali non protetti che ampliano la superficie di attacco OT
Negli ultimi anni la spinta verso l’industria 4.0 e 5.0 ha portato nelle fabbriche una miriade di sensori, gateway e dispositivi IoT industriali: per monitorare consumi energetici, prestazioni delle macchine, vibrazioni, qualità dell’aria, stato dei magazzini automatici, e così via.
Tutto questo è un valore enorme per il business, ma dal punto di vista della sicurezza OT significa una cosa sola: più punti d’ingresso possibili per gli hacker.
I report internazionali confermano che lo scenario è tutt’altro che sotto controllo: negli ultimi anni ENISA e altri osservatori europei hanno evidenziato una crescita costante degli incidenti che coinvolgono dispositivi connessi in ambito industriale, spesso dovuta a configurazioni di default, credenziali deboli o firmware non aggiornati. Molti di questi device non sono pensati per essere gestiti con le stesse pratiche di hardening dell’IT tradizionale e, soprattutto, non rientrano nei processi di vulnerability management aziendali.
In pratica, accanto a PLC e SCADA nascono decine o centinaia di “micro-sistemi” connessi che:
- Usano protocolli proprietari o poco documentati;
- Vengono installati da fornitori diversi, con logiche diverse;
- Spesso comunicano direttamente con il cloud o con piattaforme esterne, bypassando parte dei controlli di rete OT.
Per gli hacker questo è un terreno ideale: un singolo dispositivo IoT industriale non protetto può essere sfruttato come punto di ingresso per muoversi poi verso segmenti più critici della rete OT. In contesti dove la cybersecurity OT non è ancora strutturata, questi oggetti non compaiono nemmeno nell’inventario ufficiale: non c’è un elenco completo, non c’è un responsabile chiaro, non ci sono policy di aggiornamento.
Dal punto di vista dell’IT, il problema resta spesso invisibile.
I device IoT vengono visti come “parte dell’impianto”, non come asset digitali da proteggere; non sono gestiti dal CMDB, non sono inclusi nei piani di patching, non generano alert nei sistemi di monitoring tradizionali. In altre parole, esistono sul campo ma non esistono nei security dashboard.
Per le fabbriche moderne questo significa che anche in presenza di firewall aggiornati, antivirus e buone pratiche in ambito IT, la superficie d’attacco OT continua ad allargarsi in modo silenzioso. Finché questi dispositivi non verranno trattati come parte integrante della sicurezza OT – con inventario, segmentazione di rete, credenziali robuste, aggiornamenti controllati e monitoraggio del traffico continueranno a rappresentare una delle minacce più sottovalutate.
Minaccia n.4: la supply chain OT e il ruolo dei fornitori nelle minacce informatiche industriali
Quando si parla di minacce informatiche nelle fabbriche, molti pensano subito a firewall interni, malware o ransomware. Molto meno visibile, ma sempre più pericolosa, è la supply chain OT:
- Fornitori di automazione,
- System integrator,
- Manutentori,
- Vendor di software industriale,
- Piattaforme cloud di monitoraggio,
- Partner logistici.
I numeri confermano che il problema è strutturale.
Nel più recente ENISA Threat Landscape 2024, gli attacchi alla supply chain vengono indicati tra le sette principali categorie di minaccia, accanto a ransomware, malware e minacce alla disponibilità.
Dragos, nel suo OT Cybersecurity Year in Review 2025, sottolinea come alcuni gruppi stiano puntando sempre di più sui third-party vendor per ottenere accesso agli ambienti ICS, introducendo nuovi rischi per le catene di fornitura industriali.
Tradotto nel contesto di sicurezza OT, significa che gli hacker non hanno più bisogno di “sfondare la porta principale” dell’azienda: possono sfruttare credenziali, strumenti di teleassistenza, agent software o aggiornamenti rilasciati da fornitori che hanno accesso privilegiato ai sistemi di fabbrica.
Un singolo laptop di un manutentore compromesso, un tool proprietario di programmazione PLC con vulnerabilità note, un aggiornamento software distribuito tramite un canale insicuro possono diventare il veicolo perfetto per entrare nella rete OT.
Perché l’IT spesso non vede arrivare questa minaccia?
Perché molti di questi rapporti sono gestiti fuori dal perimetro classico dell’IT:
- I fornitori OT sono ingaggiati dai plant manager o dalla manutenzione;
- Gli accessi remoti vengono concordati “tra tecnici”, senza necessariamente passare da un processo strutturato di OT security;
- Contratti e SLA parlano di tempi di intervento e disponibilità, ma raramente di requisiti di cybersecurity OT, logging, MFA, gestione delle identità e delle vulnerabilità.
In più, la complexity della supply chain rende difficile capire chi, di fatto, ha accesso a cosa: lo stesso fornitore può operare su più stabilimenti, magari tramite account condivisi o VPN generiche. Gli strumenti di vendor management e i security dashboard aziendali sono spesso centrati sui fornitori IT (cloud, SaaS, data center), mentre i partner OT restano in una sorta di zona grigia.
Per le fabbriche, però, l’impatto è molto concreto: un incidente che nasce da un fornitore può bloccare una linea produttiva, mettere a rischio la qualità del prodotto o interrompere una filiera intera.
Minaccia n.5: l’errore umano in produzione come anello debole dell’OT security
Quando si parla di OT security, la mente va spesso a firewall, segmentazione di rete, nuove tecnologie di monitoraggio. Molto più raramente al fattore che, secondo diversi studi, è ancora alla base della maggior parte degli incidenti: l’errore umano. Non solo in ufficio, ma soprattutto in produzione.
Report recenti di ENISA e di vari CERT europei confermano che una quota significativa degli incidenti cyber in ambito industriale nasce da comportamenti errati o inconsapevoli: credenziali condivise tra più operatori, password scritte su post-it vicino ai pannelli HMI, chiavette USB usate per trasferire ricette o log, accessi da PC personali collegati “al volo” alla rete di stabilimento. Tutte pratiche che, in un contesto di cybersecurity OT, aprono scenari rischiosi che gli hacker sanno sfruttare molto bene.
Il problema è che nelle fabbriche il personale è spesso estremamente competente sulle logiche di processo, sulla meccanica e sull’automazione, ma non altrettanto formato sui temi di sicurezza digitale applicata all’OT. Molti operatori non percepiscono che:
- Collegare un portatile non autorizzato alla rete di linea espone l’intero impianto;
- Usare la stessa password per tutti i PLC semplifica il lavoro quotidiano, ma rende molto più semplice il lavoro degli hacker;
- Aggirare procedure di login o di conferma per “velocizzare” l’operatività significa abbassare drasticamente il livello di sicurezza OT.
Le policy di sicurezza vengono definite a livello aziendale, ma non sempre vengono tradotte in procedure pratiche, comprensibili e sostenibili per chi lavora in reparto. Se il messaggio che arriva in produzione è percepito come: “queste misure ti complicano la vita e non ti aiutano a lavorare meglio”, è inevitabile che si sviluppino scorciatoie e consuetudini poco sicure.
In più, molte realtà non hanno ancora programmi strutturati di security awareness specifica per la cybersecurity OT: la formazione si concentra sulla posta elettronica, sul phishing o sull’uso sicuro delle postazioni office, ma non su ciò che significa, ad esempio, inserire una chiavetta USB in un pannello operatore o lasciare aperto un account di manutenzione su un PLC.
Così, mentre i security dashboard aziendali mostrano indicatori confortanti su patch, antivirus e accessi IT, in fabbrica possono continuare a verificarsi pratiche quotidiane che, sommate, creano un terreno ideale per gli hacker:
- Condivisione di account operatore e amministratore;
- Utilizzo di account “temporanei” mai disabilitati;
- Mancato rispetto delle procedure per l’apertura e la chiusura degli accessi remoti;
- Alterazioni non tracciate di configurazioni e ricette di impianto.
Per ridurre davvero questo rischio serve un cambio di approccio: il personale di produzione deve diventare parte attiva della cybersecurity OT, non un semplice destinatario di regole. Solo quando competenze operative e competenze di sicurezza iniziano a dialogare, l’errore umano smette di essere una vulnerabilità strutturale.
Minaccia n.6: assenza di monitoraggio OT dedicato e security dashboard che vedono solo l’IT
L’ultima minaccia, quella che rende tutte le altre più pericolose, è la mancanza di visibilità sugli ambienti OT. Molte fabbriche hanno fatto investimenti significativi in firewall, antivirus e sistemi di monitoraggio per l’IT, ma non dispongono di strumenti specifici per la cybersecurity OT: niente IDS/IPS OT, niente analisi del traffico industriale, niente rilevamento di anomalie sui protocolli ICS.
I dati internazionali confermano il problema. Diversi report pubblicati tra il 2023 e il 2024 evidenziano che una quota ancora significativa di aziende industriali non ha implementato soluzioni di monitoraggio continuo per i sistemi OT e che, in molti casi, gli incidenti vengono scoperti solo dopo impatti operativi evidenti (fermi impianto, anomalie di processo, difetti di prodotto). In altre parole: se qualcosa non compare nei security dashboard IT, per l’azienda non sta accadendo, anche quando sta già toccando gli impianti.
La ragione è strutturale. Gli strumenti di sicurezza tradizionali sono progettati per riconoscere traffico e comportamenti tipici dell’IT (HTTP, e-mail, applicazioni office, servizi cloud), non i protocolli industriali come Modbus, Profinet, OPC UA, DNP3 e così via.
Senza una piattaforma pensata per la sicurezza OT, capace di capire cosa è “normale” su una rete di stabilimento, è difficile distinguere:
- Un’attività lecita di manutenzione da un tentativo degli hacker di modificare i parametri di un PLC;
- Una riconfigurazione pianificata da un’azione non autorizzata;
- Un guasto tecnico da un comportamento anomalo dovuto a un malware.
Questo porta a due effetti collaterali:
- Molti eventi OT non vengono loggati in modo strutturato o non arrivano ai team di sicurezza;
- Il tempo di rilevazione di un incidente in ambito OT (dwell time) può essere molto più lungo rispetto all’IT, perché le anomalie vengono interpretate come semplici problemi tecnici o di processo.
Questo contesto è ideale per gli hacker: una volta ottenuto un primo accesso tramite sistemi legacy, accessi remoti OT o supply chain, possono muoversi con maggiore libertà nella rete industriale, contando sul fatto che nessuno sta osservando davvero cosa succede a livello di comandi, pacchetti e log OT.
Per le fabbriche moderne, colmare questo vuoto significa inserire la cybersecurity OT dentro un modello di monitoraggio continuo:
- Inventario degli asset OT,
- Raccolta centralizzata dei log industriali,
- Piattaforme di threat detection OT integrate con i security dashboard aziendali e con il SOC.
Minacce cybersecurity OT: le azioni prioritarie per chiudere il divario IT/OT
Le minacce analizzate mostrano un quadro chiaro: la sicurezza industriale non può più essere trattata come un’estensione dell’IT. Servono strumenti dedicati, processi condivisi, formazione mirata e una governance che unisca competenze operative e competenze cyber.
Solo quando OT e IT iniziano a lavorare con una visione comune (inventario completo degli asset, monitoraggio continuo, controllo degli accessi, gestione strutturata dei fornitori e procedure realmente applicabili in fabbrica) la sicurezza OT diventa un fattore di continuità produttiva, e non un insieme di regole astratte.
Se la tua organizzazione vuole capire da dove iniziare o come rafforzare la propria strategia OT, il team Innovio può supportarti con assessment, roadmap e soluzioni dedicate alla cybersecurity OT. Contattaci per una consulenza personalizzata.
