C’è un paradosso che si annida nel cuore dell’industria manifatturiera moderna. Mentre le fabbriche diventano sempre più connesse, automatizzate e intelligenti, la loro esposizione ai rischi informatici cresce a un ritmo vertiginoso. Ogni sensore IoT, ogni controllore programmabile e ogni collegamento con la catena di fornitura digitale rappresentano sia un vantaggio competitivo che una potenziale via d’accesso per i criminali informatici.
Il settore manifatturiero sta vivendo un’impennata senza precedenti negli incidenti: nei primi sei mesi del 2025 si è già toccato il 90% del totale degli attacchi registrati nell’intero 2024, scalando la classifica dei settori più colpiti in Italia dal settimo al quarto posto (Clusit, 2025).
Infatti, tra aprile 2024 e marzo 2025, il settore manifatturiero aveva subito 1.314 attacchi ransomware noti, su un totale di 6.046 incidenti globali: il 22% del totale. È il quarto anno consecutivo in cui la manifattura si conferma il bersaglio preferito dei cyber criminali. Gli Stati Uniti ospitano oltre la metà degli attacchi alla supply chain industriale, ma l’Europa non è da meno: la natura interconnessa delle catene di fornitura significa che un singolo attacco può avere ripercussioni su impianti e stabilimenti in altri continenti.
I dati del primo trimestre del 2025 mostrano un aumento del 46% degli attacchi ransomware rispetto al trimestre precedente. Ancora più allarmante è il balzo del 3.000% nell’uso del trojan Ramnit, progettato per rubare credenziali dagli operatori industriali. Secondo Bitsight, l’attività dei gruppi di criminali informatici nel settore è aumentata del 71% rispetto all’anno scorso, con 29 gruppi distinti che hanno preso di mira aziende manifatturiere.
La risposta sta in una serie di fattori strutturali. La fusione tra sistemi IT e OT ha ampliato le possibilità di attacco, creando vulnerabilità in ambienti che, fino a poco tempo fa, erano isolati e relativamente al sicuro.
I sistemi OT tradizionali, come i controllori logici programmabili, SCADA e le interfacce uomo-macchina, sono stati progettati in un'epoca in cui la sicurezza informatica non era una priorità. Molti di questi sistemi continuano a utilizzare protocolli privi di crittografia o di autentificazione robusta. Non sorprende quindi che il 75% delle aziende manifatturiere presenti vulnerabilità critiche, e che il 65% abbia almeno una falla nota, attivamente sfruttata dai gruppi criminali.
A complicare ulteriormente le cose c'è la longevità degli impianti industriali. Molti macchinari funzionano con sistemi operativi che non sono più supportati, e non possono essere aggiornati senza fermare la produzione. Le aziende con fatturati tra 100 e 300 milioni di dollari rappresentano il 30% delle vittime di ransomware nel settore, una percentuale che sale al 39% tra quelle con fatturati superiori al miliardo. I criminali non fanno distinzioni tra grandi e piccole imprese: colpiscono chiunque giochi un ruolo chiave nella catena di fornitura.
La supply chain rappresenta sia la forza che la più grande vulnerabilità della produzione moderna. Tra la fine del 2023 e la metà del 2025, gli attacchi alla supply chain software sono aumentati del 25%. I criminali approfittano di questa interconnessione, scegliendo di colpire fornitori secondari meno protetti per infiltrarsi nelle aziende principali.
La supply chain è la più grande vulnerabilità del settore manifatturiero: non la propria rete, ma l’enorme catena interconnessa che sostiene la produzione. I settori più colpiti includono la produzione di macchinari (13%), i prodotti metallici (12%) e l’industria alimentare e delle bevande (11%). Gli attaccanti mirano a realtà la cui compromissione può generare il massimo effetto domino lungo la catena del valore.
Secondo le stime, i downtime non pianificati causati da incidenti informatici costano alle aziende Fortune 500 circa 1,5 trilioni di dollari all’anno, che corrisponde all’11% del loro fatturato totale. Ma questa cifra rappresenta solo la punta dell’iceberg. Quando una linea di produzione si ferma, le conseguenze si diffondono rapidamente: ordini non evasi, penali contrattuali, clienti persi, fornitori in difficoltà e una reputazione compromessa.
Nel settore automotive, dove la logica just-in-time regola l’intera catena produttiva, anche poche ore di inattività possono fermare stabilimenti in tre continenti diversi. L’attacco a Colonial Pipeline del 2021, pur non avendo colpito direttamente i sistemi OT, ha paralizzato le forniture di carburante nel sud-est degli Stati Uniti per quasi una settimana. D’altra parte, il caso Clorox del 2023 ha portato a una causa da 380 milioni di dollari contro il fornitore IT coinvolto.
Oltre ai danni economici, la perdita di proprietà intellettuale (come progetti, brevetti e specifiche tecniche) può annullare anni di vantaggio competitivo. Per molte PMI, un singolo attacco può rivelarsi fatale.
Il phishing continua a essere la principale causa di infezioni: nel 2025 ha rappresentato il 18% degli attacchi ransomware, un aumento rispetto all’11% dell’anno precedente.
Tuttavia, gli attacchi si sono evoluti. Honeywell ha segnalato oltre 1.800 minacce diffuse tramite dispositivi USB nel primo trimestre del 2025, di cui 124 erano completamente nuove. L’uso di malware veicolati attraverso chiavette, cavi di ricarica o laptop portati negli impianti è aumentato notevolmente negli ultimi tre anni.
Le credenziali rubate e le tecniche di phishing mirato consentono ai criminali di mantenere accessi silenziosi per settimane, esplorando la rete e scegliendo il momento giusto per colpire. Dopo la dissoluzione di gruppi storici come LockBit e AlphV, il panorama delle minacce si è frammentato: sono emersi numerosi attori più piccoli, meno coordinati ma anche più imprevedibili.
Difendere un impianto industriale richiede un approccio diverso da quello tradizionale IT. Qui la priorità non è soltanto la riservatezza dei dati, ma soprattutto la disponibilità dei sistemi e la sicurezza fisica delle persone.
L’Institute SANS individua cinque controlli critici per la cybersecurity industriale:
A fine settembre 2025, il NIST ha rilasciato la bozza del “Cybersecurity Framework 2.0 Manufacturing Profile”, avviando una consultazione pubblica che durerà fino al 17 novembre. Questo documento propone un approccio volontario ma ben strutturato per gestire il rischio informatico nel settore manifatturiero.
Il modello si basa su sei funzioni chiave: governance, identificazione, protezione, rilevamento, risposta e recupero. Inoltre, la nuova revisione include anche linee guida specifiche per la gestione del rischio nella supply chain e per garantire la resilienza delle infrastrutture tecnologiche.
Più del 60% dei professionisti della sicurezza industriale prevede di adottare strumenti basati su intelligenza artificiale o machine learning entro il prossimo anno.
Queste tecnologie permettono di analizzare grandi volumi di dati in tempo reale, individuando comportamenti anomali che potrebbero segnalare un tentativo di intrusione. Negli ambienti OT, dove i flussi di rete seguono schemi molto regolari, anche una piccola deviazione può essere il campanello d’allarme.
Ma l’AI non è solo un alleato della difesa. I criminali la utilizzano per generare campagne di phishing più realistiche, automatizzare la ricognizione delle reti e sviluppare exploit in tempi sempre più brevi. È, a tutti gli effetti, un’arma a doppio taglio.
La tecnologia da sola non basta. L’anello debole è spesso l'essere umano, se non correttamente formato, rappresentando un potenziale firewall mai attivato.
Formare tecnici, operatori e personale amministrativo a riconoscere le minacce è oggi una priorità. Il concetto di cyber resilienza, la capacità non solo di prevenire, ma di continuare a operare durante e dopo un attacco, è diventato centrale nella strategia delle aziende più mature.
Secondo il World Economic Forum, la resilienza cyber deve essere trattata come una questione di leadership. I consigli di amministrazione devono considerarla un investimento nella continuità del business, non un costo.
I produttori più avanzati stanno già integrando la sicurezza nelle fasi di progettazione dei prodotti, dei processi e delle partnership con i fornitori.
Il settore manifatturiero si trova di fronte a una sfida cruciale. L’aumento del 46% degli attacchi ransomware in un solo trimestre non è un episodio isolato, ma un segnale chiaro di una tendenza in crescita.
La convergenza tra IT e OT, se da un lato ha introdotto nuove vulnerabilità, dall’altro offre strumenti preziosi per difendersi: analisi in tempo reale, intelligenza artificiale e automazione delle risposte agli incidenti.
L’adozione di framework standardizzati, come quello del NIST, rappresenta una guida pratica per costruire un ecosistema produttivo più sicuro. La collaborazione tra aziende, istituzioni e comunità di esperti sarà essenziale per rafforzare la resilienza del settore.
In un mondo in cui la produzione dipende tanto dai bit quanto dagli ingranaggi, la cybersecurity industriale è ormai una condizione necessaria per la sopravvivenza dell’impresa. Ogni rete segmentata, ogni piano di risposta testato e ogni persona formata contribuiscono a evitare che, un giorno, il silenzio delle fabbriche sostituisca il suono delle macchine.
Di Andrea Costantino - Chief Quality Officer, CYBEROO