La minaccia più insidiosa per le industrie italiane non fa notizia: non blocca i sistemi, non chiede riscatti, non lascia tracce evidenti. Modifica silenziosamente i parametri operativi dei processi produttivi. E quando il danno emerge, può essere già troppo tardi per risalire alla causa. È questo il quadro che emerge dall’ultimo report semestrale OT/IoT di Nozomi Networks, presentato a Milano.

Davide Ricci, Regional Sales Director di Nozomi Networks

Davide Ricci, Regional Sales Director di Nozomi Networks

Nozomi Networks è una società fondata nel 2013 a Mendrisio, in Svizzera, da due imprenditori varesotti: Andrea Carcano, Chief Product Officer, e Moreno Carullo, Chief Technology Officer. Si occupa di protezione cyber delle infrastrutture industriali e delle reti OT (Operational Technology) e IoT, un mercato di nicchia ma strategico che Nozomi ha contribuito a definire. Davide Ricci, Regional Sales Director e responsabile per il mercato italiano, sottolinea che nel 2025 Gartner ha pubblicato la prima edizione del Magic Quadrant dedicato alle soluzioni CPS Protection (Cyber-Physical System Protection), inserendo Nozomi tra i leader.

Il 29 gennaio 2026 si è completata l’acquisizione del 100% delle quote da parte di Mitsubishi Electric, annunciata a settembre 2025 per una cifra che aggira attorno al miliardo di dollari. L’azienda mantiene brand, management e struttura operativa invariati, con circa 400 dipendenti distribuiti globalmente, di cui una decina in Italia. Il cuore tecnologico e di ricerca resta a Mendrisio.

Il 63% dei sistemi industriali italiani è ad alto rischio

Il report copre il secondo semestre 2025 e include una sezione dedicata all’Italia. Il primo dato è già allarmante: il 63% delle vulnerabilità rilevate sui dispositivi industriali monitorati nel nostro paese è classificato ad alto impatto e ad alto rischio. La media globale si ferma al 58%.

Alessandro Di Pinto, Senior Director Security Research di Nozomi Networks

Alessandro Di Pinto, Senior Director Security Research di Nozomi Networks

“Non vuol dire che è successo qualcosa oggi: si parla di rischio potenziale”, precisa Alessandro Di Pinto, Senior Director Security Research di Nozomi Networks. “Ma i dispositivi inseriti nelle industrie italiane sono altamente esposti”.

Le cause ipotizzate da Nozomi non sorprendono: sistemi operativi non aggiornati, processi di patching lenti e una cultura storica che tendeva a considerare gli impianti industriali al sicuro per il solo fatto di essere fisicamente separati dalla rete. Un’assunzione che la progressiva digitalizzazione ha reso obsoleta.

La minaccia silenziosa: modificare i parametri di processo senza farsi scoprire

Il profilo di attacco osservato in Italia diverge dalla media globale in modo significativo. A livello mondiale la tecnica più diffusa è l’Adversary-in-the-Middle (AiTM). In Italia, invece, la tecnica più rilevata è la Data Manipulation – responsabile di oltre un quarto di tutti gli alert – abbinata al Brute Force come vettore di accesso iniziale. Una tecnica rudimentale e che non dovrebbe avere successo in ambienti in cui le policy vietano l’utilizzo di password banali o di default e non consentono di fare molteplici tentativi di accesso a breve distanza di tempo. Una condizione evidentemente lontana dalla realtà delle aziende italiane.

Di Pinto ha illustrato lo scenario con un esempio concreto: un’azienda italiana di meccanica di precisione che fornisce componenti a un’industria della difesa europea. L’attaccante entra nella rete tramite Brute Force su un sistema di telecontrollo esposto su Internet, si muove lateralmente cercando di restare invisibile, e infine modifica di pochi gradi un parametro del processo di lavorazione. “Un bullone che deve essere inciso a 15 gradi viene inciso a 17 e non si incastra più”. Risultato: le componenti non sono conformi, la supply chain è bloccata e l’azienda subisce danni reputazionali senza che nessuno riesca a individuare la causa per mesi. A volte anni.

I settori più colpiti in Italia sono il manifatturiero e i trasporti. Non è casuale: la manifattura è il cuore del sistema industriale italiano, e il paese è un hub logistico del Mediterraneo con infrastrutture critiche di rilevanza europea.

Il preposizionamento geopolitico: si entra prima che scoppi il conflitto

Il tema più articolato della presentazione riguarda la dimensione geopolitica degli attacchi alle infrastrutture critiche. La logica degli attori statali è opposta a quella dei ransomware: non vogliono essere scoperti, e agiscono molto prima che un conflitto diventi visibile.

“Uno Stato non inizia a colpire le infrastrutture critiche nel momento in cui scoppia l’evento geopolitico”, spiega Di Pinto. “Si è già posizionato prima, in tempi in cui tutto sembra andare bene. Quando poi la situazione si scalda, l’accesso è già garantito”.

L’esempio storico citato è Stuxnet, il malware che tra il 2007 e il 2010 ha modificato la velocità delle centrifughe iraniane per l’arricchimento dell’uranio, inducendo usura accelerata mentre i sistemi di controllo segnalavano falsamente che tutto era nella norma. Un caso di Data Manipulation ante litteram, rimasto latente per tre anni prima di essere scoperto.

Nel report attuale, tra i dieci gruppi criminali più attivi nel periodo monitorato figurava il gruppo iraniano CyberAv3ngers, attivo già dal 2023 con attacchi documentati a infrastrutture idriche americane. Il report è stato pubblicato a metà febbraio 2026, settimane prima dell’escalation in Medio Oriente del 28 febbraio: un esempio di come il preposizionamento sia leggibile nei dati prima che diventi notizia.

Gli obiettivi di questi attacchi sono tre, secondo Di Pinto: vantaggio competitivo tra stati, danno reputazionale prolungato (un paese con un manifatturiero screditato impiega anni a recuperare), e la leva politica interna, agendo sulla pressione della popolazione civile come strumento per influenzare le scelte dei governi. I casi documentati di attacchi realmente distruttivi esistono: i blackout in Ucraina causati da Industroyer2 nel 2022, il tentato sabotaggio di un impianto petrolchimico in Arabia Saudita tramite il malware Triton nel 2017, fallito per un errore tecnico degli stessi attaccanti.

L’AI comprime i tempi: dalla vulnerabilità all’attacco in poche ore

Davide Boglioli, Technical Lead del team di Vulnerability Assessment di Nozomi

Davide Boglioli, Technical Lead del team di Vulnerability Assessment di Nozomi

Il dato più preoccupante emerso dalla presentazione riguarda la velocità con cui le vulnerabilità appena scoperte vengono sfruttate. Davide Boglioli, Technical Lead del team di Vulnerability Assessment di Nozomi, ha illustrato la traiettoria: “Nel 2018–19 il tempo tra la pubblicazione di una vulnerabilità e il suo sfruttamento era di circa 40 giorni. Nel 2023 era sceso a 20, nel 2025 a 5. Oggi si parla di attacchi eseguiti lo stesso giorno in cui la vulnerabilità viene resa pubblica”.

L’AI non crea nuovi metodi di attacco, ma funge da moltiplicatore di competenza: abbassa la soglia tecnica necessaria per sfruttare vulnerabilità complesse, come quelle nei sistemi PLC industriali che un tempo richiedevano conoscenze da ingegnere specializzato. Stanno emergendo anche i primi malware che interrogano modelli AI in tempo reale per decidere come muoversi all’interno di un sistema sconosciuto. Sono ancora sperimentali, ma indicano una direzione.

La NIS2 offre più visibilità, ma non basta

La direttiva NIS2 viene valutata con un giudizio articolato. Il merito principale è la trasparenza: l’obbligo di notifica degli incidenti ha rotto una cultura del silenzio consolidata, in cui le aziende preferivano non dichiarare le violazioni subite per evitare danni reputazionali. Da quando è entrata in vigore, il numero di incidenti riportati pubblicamente è aumentato in modo significativo. Non perché siano aumentati effettivamente gli attacchi, ma perché ora vengono dichiarati.

Il limite, però, è altrettanto chiaro. “La NIS2 parla di compliance, non di come agire: nessuno istruisce poi l’azienda su cosa fare concretamente per difendersi”, osserva Di Pinto. La direttiva migliora la visibilità sistemica del fenomeno, ma non colma il divario operativo tra l’obbligo di segnalare e la capacità di prevenire.

Il quadro complessivo che emerge dal report è quello di un paese industrialmente rilevante negli ambiti della manifattura, logistica e difesa, ma che sconta un ritardo strutturale nella protezione delle proprie reti operative, in un momento in cui la posta geopolitica in gioco non è mai stata così alta. La domanda resta aperta: quante infiltrazioni sono già in corso senza che nessuno le abbia ancora identificate?