La cybersecurity nel settore manifatturiero sta vivendo un momento di profonda trasformazione. Non più un tema ristretto a pochi esperti, la sicurezza informatica applicata agli ambienti operativi (OT – Operational Technology) è ormai riconosciuta come una preoccupazione elevata per la maggior parte delle aziende. È quanto emerso con forza dalla Roundtable dedicata alla Cybersecurity nel manifatturiero, svoltasi lo scorso 2 aprile nell’ambito dello SMART MANUFACTURING SUMMIT 2025.
Moderata da Elena Vaciago, Research Manager di TIG – The Innovation Group, con la partecipazione di Luca Moroni, Co-Founder, CSA – Cyber Security Angels, Luigi Mina, Head of Cyber Security Architecture & Engineering di Eni, Pierluigi Vanti, ICT Industry 4.0 Zero Corporation Director di IMA e Oronzo Lucia, Coordinatore Scientifico del Comitato Scientifico SPS Italia, la discussione ha preso il via dalla presentazione dei dati della “Smart Manufacturing Survey 2025” di TIG, basata su interviste a 94 aziende manifatturiere di diverse dimensioni.
Riportiamo qui il video completo della sessione e sotto una sintesi dei contenuti:
I dati rivelano un cambio di passo, ma non per tutti
Secondo la survey, il 60% delle aziende intervistate considera la OT security una preoccupazione alta o molto alta. Un dato significativo che testimonia un netto cambiamento rispetto al passato. Tuttavia, l’interesse e l’adozione di misure di sicurezza mostrano profonde differenze dimensionali. Le grandi aziende sono molto attente, mentre le piccole e alcune medie considerano ancora la OT security una priorità bassa o nulla. Questo gap crea gravi vulnerabilità nelle filiere produttive, che possono essere esposte a rischi se i partner più piccoli non si adeguano.
L’adozione di misure di cybersecurity in ambito industriale ricalca quelle dell’IT, ma i livelli di implementazione si attestano attorno al 50-60% per le pratiche più diffuse. Un dato allarmante emerso dalla survey è la bassissima posizione occupata dalla formazione (41% dei rispondenti) nella classifica delle misure adottate, aspetto solitamente ai primi posti nel mondo IT.
La sfida principale: integrare IT e OT
Al primo posto tra le sfide percepite dalle aziende vi è la mancanza di una visione integrata della cybersecurity tra IT e OT. Nonostante gli ambienti stiano diventando sempre più unificati (“un tutt’uno”), una gestione unitaria, spesso guidata dall’IT, è ancora difficile da realizzare, anche a causa delle difficoltà nel coinvolgere adeguatamente il personale OT.
Altre problematiche cruciali includono la complessità intrinseca degli ambienti industriali, le difficoltà nel mantenere le misure di sicurezza, l’integrazione di soluzioni disparate e la carenza di personale specializzato. Quest’ultima colpisce maggiormente le piccole imprese, mentre le difficoltà di integrazione preoccupano di più le grandi, probabilmente per via della maggiore complessità dei loro impianti.
Le voci dal campo: esperienze e strategie a confronto
La roundtable ha quindi dato voce a esperti del settore per approfondire queste tematiche.
Luca Moroni, Co-Founder di CSA Cyber Security Angels, ha presentato CSA come una community di “security by sharing” per aziende finali. Ha sottolineato l’impatto del nuovo Regolamento Macchine, già legge e in vigore da gennaio 2027, che introduce concetti di cybersecurity e AI nella progettazione delle macchine. Moroni ha evidenziato la necessità di formare il personale “di campo”, poiché spesso i fornitori non sono preparati sulla cybersecurity o lo sono solo su richiesta, e l’introduzione degli aspetti di sicurezza comporta costi che l’acquirente deve esigere. Ha concordato sulla mancanza di visione integrata IT/OT come sfida principale, suggerendo che sia l’OT a portare le proprie competenze nei comitati di cybersecurity. Ha inoltre posto l’accento sulla supply chain come fattore chiave di rischio, spesso causa di incidenti, e sulla mancanza di fornitori che introducano la sicurezza in modo proattivo.
Luigi Mina, Head of Cyber Security Architecture & Engineering di Eni, ha descritto il programma di OT security di Eni, avviato nel 2016-2017 in un contesto di grande diversificazione degli ambienti a livello mondiale. L’approccio è stato basato sull’analisi del rischio specifica per ciascun impianto, data l’impossibilità di applicare standard internazionali direttamente a impianti datati. Le misure privilegiate sono state il monitoraggio passivo, per ottenere visibilità rapida con basso impatto, e la segregazione di rete, essenziale data la rischiosità della comunicazione libera tra IT e OT. Eni gestisce IT e OT security sotto un’unica direzione per garantire il dialogo consapevole tra i due mondi. Tra le sfide, Mina ha citato il supporto dei fornitori, la cultura e la formazione, considerate fondamentali (Eni ha testato la facilità con cui si possono causare danni), l’eterogeneità dell’IoT e l’uso dell’AI anche da parte dei cyber criminali.
Pierluigi Vanti, ICT Industry 4.0 Zero Corporation Director di IMA, ha portato la prospettiva di un costruttore di impianti. L’approccio alla cybersecurity OT di IMA è nato nel 2016 dall’esigenza di servitizzazione delle macchine, basata su connettività e raccolta di dati. L’ostacolo principale è stata la paura dei clienti riguardo alla cybersecurity nel connettere le macchine, specie al cloud. La soluzione è stata una segregazione elevatissima che consentisse solo la raccolta unidirezionale dei dati (principalmente diagnostici/ legati alla produttività delle macchine), mitigando così il rischio di violazione. IMA ha poi esteso il monitoraggio anche alla cybersecurity sui gateway, suggerendo che le strutture IT dei clienti gestiscano queste anomalie. Vanti ha menzionato normative come la IEC 62443 e l’esperienza con la certificazione ISO 27001 per la sicurezza IT. Ha sottolineato come i framework normativi aiutino a scoprire vulnerabilità “soft” sottovalutate, come la formazione e sensibilizzazione degli utenti finali, una delle vulnerabilità più frequenti e difficili da mitigare.
Oronzo Lucia, Coordinatore Scientifico del Comitato Scientifico SPS Italia, ha offerto la visione del comitato di SPS Italia, nato per raccogliere esperienze e fornire indicazioni, in particolare per le realtà manifatturiere italiane più piccole. Lucia, con un background nel manifatturiero/ automazione, ha riconosciuto la validità delle competenze sia IT che OT. Ha notato che la connettività, spinta da Industria 4.0, è stata a volte voluta dai clienti senza piena consapevolezza dei potenziali rischi, richiedendo poi ai costruttori di dover informare gli utilizzatori finali. Ha introdotto il concetto di Security by Design, cruciale come la Safety by Design, per affrontare la sicurezza fin dall’inizio del ciclo di vita del prodotto. Il comitato di SPS Italia sta producendo documenti e podcast (“Tech’nGo“) con “pillole” informative sintetiche sulla cybersecurity. Le indicazioni includono un panorama delle normative (Regolamento Macchine, NIS 2) e dei framework implementativi (IEC 62443, ISO 27000 series).
Conclusioni
In conclusione, la roundtable ha confermato che la cybersecurity nel manifatturiero è una priorità crescente, ma la strada verso una protezione efficace e diffusa è ancora lunga. L’integrazione IT/OT, la preparazione dei fornitori, la formazione del personale e un approccio “Security by Design” sono elementi chiave per affrontare le sfide di un ambiente industriale sempre più connesso e regolamentato.
Per maggiori informazioni:
“Cybersecurity industriale: una priorità con molte sfide aperte“: l’articolo con i risultati della survey TIG.
