Quando la sonda resta in magazzino: cosa blocca la sicurezza OT in Italia, secondo Nozomi Networks

Nozomi Networks è un’azienda nata da una visione italiana ma con un impatto globale: sviluppa soluzioni di cybersecurity per ambienti OT e IoT, proteggendo infrastrutture critiche, impianti industriali, sistemi cyber e fisici in tutto il mondo. Dalla visibilità sugli asset alla threat intelligence, passando per l’analisi dei protocolli industriali e il rilevamento proattivo delle vulnerabilità, Nozomi si è affermata come uno dei principali player nel settore della sicurezza per l’industria connessa.

Durante un recente incontro con l’azienda, abbiamo avuto accesso in anteprima ai dati italiani contenuti nel nuovo report semestrale sulla sicurezza OT/IoT. Ma più che una semplice presentazione di dati e numeri, è stato un confronto diretto con Davide Ricci (Regional Sales Director Italy) e Alessandro Di Pinto (Sr. Director of Security Research), che hanno condiviso riflessioni e scenari su cosa stia realmente rallentando — o abilitando — la cybersecurity industriale in Italia.

L’evoluzione delle minacce: ransomware, deepfake e infrastrutture obsolete 

Ad aprire l’incontro è stato Alessandro Di Pinto, Sr. Director of Security Research, che ha illustrato l’approccio di Nozomi, basato su una doppia anima: da una parte la ricerca avanzata, con un laboratorio a Mendrisio dove si analizzano dispositivi industriali reali, dall’altra un team di threat intelligence che raccoglie e crea correlazione fra dati dei clienti, dei partner globali e fonti pubbliche.

La fotografia attuale per l’Italia non lascia spazio all’ottimismo: nel primo semestre 2025 i ransomware sono cresciuti del 30%, con attacchi rivolti soprattutto a Pubblica Amministrazione, telecomunicazioni ed energia. Il paradigma del “Ransomware-as-a-Service” — in cui i gruppi criminali sviluppano e vendono tool a terzi — è ormai consolidato anche nel nostro Paese. 

Ma il trend forse più inquietante è la diffusione degli attacchi basati sull’intelligenza artificiale: voice deepfake in grado di simulare telefonate di CEO o ministri, utilizzate per estorcere denaro. A rendere più critico il quadro, l’obsolescenza strutturale degli impianti: dispositivi OT progettati decenni fa, spesso ancora in uso senza possibilità di aggiornamento, vulnerabili a intrusioni anche banali, come l’uso di credenziali di default. “Abbiamo registrato connessioni persistenti da IP iraniani su impianti di trattamento acque”, ha raccontato Di Pinto. “Non stavano facendo nulla di distruttivo, ma osservavano. E questo è già abbastanza preoccupante”.

“Abbiamo 20 sonde in magazzino”: il paradosso della consapevolezza

Se da un lato i rischi sono noti, e le soluzioni tecniche disponibili, dall’altro permane un divario operativo che ostacola l’effettiva messa in sicurezza degli ambienti OT. Davide Ricci, Regional Sales Director Italy di Nozomi Networks, ha portato un esempio emblematico: “Un nostro cliente ha acquistato 20 sonde per la sicurezza OT a giugno. A oggi sono ancora tutte in magazzino. Tutti sanno che servono, ma non c’è ancora un flusso operativo che ne consenta l’installazione nei siti produttivi”. 

Il problema, secondo Ricci, non è la volontà dei CISO, spesso ben informati e motivati, ma la difficoltà nel trasformare la consapevolezza in esecuzione sul campo. “Manca l’iniezione della cybersecurity nei workflow quotidiani di stabilimento, negli impianti, nelle cabine telecontrollate. Il problema non è più ‘se’ fare sicurezza OT, ma ‘come’ farla davvero”. 

Un altro ostacolo riguarda il canale: i system integrator tradizionali faticano ad adattarsi al mondo OT, troppo diverso per cultura e competenze da quello IT. “Chi viene dal mondo dell’automazione non ha skill di cybersecurity, e viceversa”, ha sottolineato Ricci. “La parte di delivery funziona, ma l’operation — quella che serve per monitorare e reagire — è ancora un anello debole”.

Anche sul fronte delle aziende utenti si procede a due velocità. Le infrastrutture critiche (utilities, energia, trasporti) sono avanti, spinte anche da normative come NIS2. Ma nella fascia media — manifattura, terziario, sanità — prevale un approccio più formale che sostanziale. “Si punta a essere compliant sulla carta più che nella realtà operativa”, ha detto Ricci. “E questo si riflette nella lentezza con cui certe misure vengono implementate”.

Verso il servizio gestito, ma la remediation resta interna

Un trend emergente è la crescente richiesta di soluzioni in modalità gestita: le aziende, oberate da decine di strumenti, chiedono che qualcuno monitori al posto loro. Ma l’ambito OT pone limiti chiari alla delega. “Il monitoraggio può essere affidato all’esterno”, ha spiegato Ricci, “ma la remediation — ossia l’intervento diretto su un impianto — rimarrà quasi sempre sotto il controllo del cliente. Troppo alto il rischio operativo”. 

E se da un lato i vendor come Nozomi si muovono per abilitare i partner a offrire MDR (Managed Detection and Response), dall’altro pochi integratori in Italia hanno oggi la struttura e le competenze per fornire un SOC OT credibile e sostenibile.

Un tema ricorrente, e strategico, è quello della visibilità. Avere un inventario preciso degli asset connessi, dei protocolli attivi, delle vulnerabilità note — e soprattutto poter tracciare chi accede e da dove — è oggi il prerequisito di ogni strategia di difesa. “Il nostro sistema permette di sapere non solo quante telecamere ho, ma anche chi le sta guardando”, ha detto Ricci. “E se una telecamera è associata a una centrale operativa esterna, lo tracciamo. Questo non è solo cybersecurity: è asset management evoluto”.

L’adozione di indicatori sintetici di rischio, personalizzabili per cliente, è un altro punto forte della piattaforma Nozomi Vantage. Non si tratta più di contare le vulnerabilità, ma di capire come evolve il rischio nel tempo — per sito, per tipo di asset, per area geografica.

Il messaggio finale che emerge dal confronto è chiaro: oggi non è più tempo di convincere le aziende della necessità di proteggere gli ambienti OT e IoT. Quel tempo è passato. Oggi il nodo è esecutivo: portare le sonde dal magazzino all’impianto, trasformare la consapevolezza in operatività.

E in questo passaggio, il ruolo dei partner, dei fornitori di tecnologia e del legislatore diventa decisivo. Perché se è vero che “non puoi proteggere ciò che non vedi”, è altrettanto vero che vedere non basta. Serve agire. Prima che sia troppo tardi.