“Never touch a running system”. È il principio non scritto che governa la gestione dei macchinari in molti stabilimenti italiani. Non per resistenza al cambiamento, ma perché ogni intervento può avere un costo operativo immediato e, a volte, imprevedibile. È anche il motivo per cui il manifatturiero italiano è diventato uno dei bersagli preferiti del cybercrime globale. Il 16% di tutti gli attacchi al settore a livello mondiale colpisce stabilimenti in Italia, un’economia che rappresenta meno del 2% del PIL globale, con gravità sempre più intensa (+10% attacchi critici o estremi nell’ultimo anno).
In molti di quegli stabilimenti, la risposta al rischio cyber è stata disconnettere le macchine dalla rete. Connessioni nate spesso per qualificarsi agli incentivi del Piano Industria 4.0, più che per una scelta consapevole di trasformazione digitale, e ora deliberatamente staccate. La sicurezza di quella connettività non era nell’equazione quando fu introdotta e non lo è diventata dopo.
Il risultato è il peggio dei due mondi: gli impianti rinunciano ai benefici della digitalizzazione senza eliminare le vulnerabilità, perché nel frattempo i sistemi sono stati potenzialmente esposti e non è chiaro in quale stato si trovino.
Perché il manifatturiero fatica ad aggiornarsi
C’è una dinamica che chi opera quotidianamente in ambito industriale conosce bene, ma che raramente viene esplicitata con chiarezza al management. In un contesto IT tradizionale, applicare un aggiornamento di sicurezza è un’operazione rapida e quasi trasparente. In uno stabilimento produttivo, invece, la stessa attività viene spesso percepita come molto più invasiva: può implicare un fermo linea, una fase di validazione tecnica, il coinvolgimento del costruttore della macchina e, in alcuni casi, persino la ricertificazione del processo. Tutti passaggi che potenzialmente sottraggono tempo e continuità alla produzione.
È comprensibile, quindi, che in molti ambienti OT si sia affermato nel tempo un principio non scritto, sintetizzabile nel noto “never touch a running system”: in pratica, se qualcosa funziona, meglio non intervenire. Questa prudenza nasce da esperienze reali e da timori legittimi, ma spesso finisce per trasformarsi in un freno sistematico all’aggiornamento dei sistemi.
Il problema è che, mentre i rischi legati all’aggiornamento vengono percepiti come immediati e tangibili, quelli derivanti dal mancato aggiornamento tendono a essere sottovalutati perché meno visibili nel breve periodo. Eppure i dati raccontano una realtà diversa. Come evidenziato dall’ultimo Rapporto Clusit, a livello globale nell’ultimo anno gli attacchi sfruttando vulnerabilità note sono aumentati del 65%. Non si tratta di tecniche particolarmente sofisticate o di zero‑day, ma di falle già pubblicamente documentate e rimaste aperte, spesso proprio perché intervenire su un impianto industriale è ritenuto oneroso dal punto di vista operativo.
In questo senso, la scelta di non aggiornare può apparire come l’opzione più prudente, ma nel medio-lungo periodo si rivela quasi sempre la più rischiosa: trasforma vulnerabilità potenziali in superfici di attacco certe e sposta il costo da un’interruzione pianificata e controllata a un incidente imprevedibile, con impatti ben più gravi sulla produzione, sulla sicurezza e sulla continuità operativa.
La maturità cyber degli impianti italiani, nella realtà
In quasi la metà degli stabilimenti la rete dei macchinari è collegata alla stessa infrastruttura che gestisce la posta elettronica e i gestionali. Dove una separazione esiste, nella grande maggioranza dei casi il firewall non viene gestito attivamente: le regole non vengono aggiornate dopo le manutenzioni, non vengono revisionate nel tempo. Meno di un impianto su dieci ha definito formalmente chi è responsabile della cybersecurity OT, il che significa che quando succede qualcosa non è chiaro chi risponde, con quali strumenti, entro quanto.
Sul fronte delle macchine acquistate, il problema è diverso ma ugualmente concreto. Gli impianti arrivano spesso con accessi remoti preconfigurati, usati dall’integratore per assistenza e aggiornamenti, senza che l’azienda abbia piena visibilità su chi può connettersi e da dove. Meno del 10% dei fornitori verifica, prima della consegna, se la macchina contiene vulnerabilità note non corrette.
Non si tratta di casi limite o di cattive pratiche isolate, ma del modo in cui la produzione industriale si è nel tempo assestata per privilegiare continuità, rapidità di risposta e semplificazione operativa.
Il punto in cui sicurezza e operatività si incontrano
Aggiungere uno strato di sicurezza sopra un’infrastruttura già esistente non è l’approccio che si è dimostrato più efficace. Piuttosto, è necessario costruire visibilità, e usarla per due scopi contemporaneamente.
Il primo è la protezione del perimetro OT. Sapere cosa è connesso, come comunicano i sistemi, dove si trovano i punti di contatto tra IT e OT, chi ha accesso remoto ai macchinari e da dove. Senza questa mappatura qualsiasi intervento di sicurezza è parziale, perché non si può proteggere ciò che non si vede.
Il secondo è l’ottimizzazione operativa. La stessa acquisizione di dati dai macchinari che serve a rilevare un comportamento anomalo è quella che permette di misurare l’OEE (Overall Equipment Effectiveness) reale, di anticipare un guasto, di correlare i consumi energetici al ciclo produttivo, di capire dove si perdono margini.
Sono due benefici dello stesso livello di visibilità.
Questo vale anche per come l’intelligenza artificiale viene applicata in questi ambienti. Un sistema di AI industriale funziona solo se i dati sono affidabili e verificabili. In fabbrica non ci si può permettere risposte approssimative: se un sistema dichiara che una macchina consuma il 40% di energia in standby, quel dato deve essere reale e tracciabile, non una stima. La solidità del dato è il presupposto della fiducia nel sistema da parte degli operatori, dei responsabili di produzione, del management.
Come sbloccare la situazione
Le domande concrete da cui iniziare sono tre:
· Dove (e come) IT e OT si toccano oggi all’interno dell’impianto?
· Chi ha accesso remoto ai sistemi di controllo e di sicurezza, con quali credenziali?
· Quali scenari potrebbero fermare la produzione?
In tutte risulta chiaro che le informazioni necessarie non sono confinate in ambiti distinti, ma circolano tra il mondo informatico e quello operativo.
Sicurezza e ottimizzazione dei processi non sono quindi due progetti diversi, ma due letture dello stesso patrimonio informativo: ignorarne una significa indebolire anche l’altra.
Ed è proprio su questa capacità di lettura integrata dei dati che oggi si gioca la differenza tra chi governa davvero i propri impianti e chi si limita a farli “andare avanti”.
