Il settore energetico italiano riveste un'importanza fondamentale per la produzione e la distribuzione di energia con un impatto determinante sull'economia nazionale e sul benessere della società. La transizione verso fonti di energia rinnovabile, come il solare e l'eolico, sta progressivamente modificando il panorama energetico italiano con un ottimo impatto a livello ambientale. Allo stesso tempo, però, introduce nuove complessità e potenziali vulnerabilità nel dominio della cybersecurity.
Nello specifico, la maggiore dipendenza dalla generazione distribuita richiede sistemi di controllo più sofisticati e interconnessi, ampliando di fatto la superficie di attacco potenziale. I sistemi più recenti, infatti, potrebbero presentare considerazioni di sicurezza diverse rispetto alle infrastrutture tradizionali basate su combustibili fossili.
La posizione geografica strategica dell'Italia nel Mediterraneo e il suo ruolo nelle catene di approvvigionamento energetico internazionali la rendono, inoltre, un obiettivo potenzialmente interessante per minacce informatiche di natura geopolitica. Un'interruzione dell'infrastruttura energetica italiana potrebbe avere ripercussioni regionali più ampie, rendendola un bersaglio per attori statali o per coloro che cercano di destabilizzare il mercato energetico europeo.
In questo contesto, le minacce alla cybersecurity sono in costante aumento a livello globale, con una particolare attenzione rivolta alle infrastrutture critiche. Il settore energetico si configura come un bersaglio primario, data la sua criticità e il potenziale di causare interruzioni ad alto impatto. Per comprendere appieno il panorama della cybersecurity analizziamo in questo articolo dati, tendenze, normative e strategie di difesa specifiche per il contesto italiano.
Analizzando il settore dell’energia nel contesto italiano evidenziamo subito tre principali tendenze: il continuo aumento degli attacchi, la gravità degli impatti e una criticità ed essenzialità del settore. Vediamole nel dettaglio.
Il Rapporto Clusit 2025 evidenzia un significativo incremento del 15% degli incidenti informatici diretti alle infrastrutture critiche italiane rispetto all’anno precedente, con il 2% diretto al settore dell'energia.
Il numero elevato di attacchi in Italia, se confrontato con la media globale, suggerisce la presenza di specifiche vulnerabilità o fattori che rendono il paese un bersaglio privilegiato. Tali fattori potrebbero includere difese di cybersecurity meno robuste, un grado di digitalizzazione elevato non accompagnato da adeguate misure di sicurezza, o dinamiche geopolitiche particolari. È importante considerare che i dati del Rapporto Clusit, pur essendo significativi, si basano sugli incidenti gravi riportati pubblicamente, il che implica che il numero reale di attacchi potrebbe essere ancora maggiore. Molte organizzazioni potrebbero non divulgare pubblicamente gli attacchi cibernetici subiti a causa di potenziali danni reputazionali o per altre ragioni, portando a una sottostima della vera portata del problema.
La severità degli attacchi, che nel 62% dei casi è tipo critica/grave nel tempo indica una sofisticazione crescente e un intento potenzialmente più distruttivo da parte dei criminali informatici che prendono di mira il settore energetico. È probabile che gli aggressori stiano affinando le loro tecniche per massimizzare l'impatto e la potenziale interruzione, spinti da guadagni finanziari o da motivazioni geopolitiche.
Il settore dell'energia rimane un obiettivo privilegiato per i criminali informatici proprio a causa della sua natura di infrastruttura critica. Infrastrutture come centrali elettriche, reti di distribuzione del gas e sistemi idrici sono particolarmente vulnerabili e attraggono attacchi mirati. L'interconnessione delle infrastrutture energetiche a livello europeo implica che attacchi riusciti in Italia potrebbero avere effetti a cascata su altri stati membri. La rete elettrica e i gasdotti sono spesso transnazionali, quindi un'interruzione in un paese può portare a carenze o blackout in altri stati.
Di seguito analizziamo le principali criticità del settore energetico in Italia che possono renderlo vulnerabile e un facile bersaglio per gli attaccanti malevoli.
La dipendenza da sistemi legacy obsoleti, come i sistemi SCADA utilizzati per le operazioni industriali, può rendere l'infrastruttura vulnerabile. Questi sistemi più datati potrebbero mancare di funzionalità di sicurezza moderne e presentare vulnerabilità note. La lunga durata dei sistemi di controllo industriale nel settore energetico implica che l'aggiornamento o la sostituzione può essere un processo lento e costoso, lasciandoli esposti per periodi prolungati. A differenza dei sistemi IT con cicli di vita più brevi, i sistemi OT sono spesso progettati per decenni di operatività, rendendoli suscettibili a nuove minacce che emergono molto tempo dopo la loro implementazione.
La crescente integrazione di dispositivi IoT per il monitoraggio e la gestione di asset critici introduce nuove sfide per la sicurezza. Spesso questi dispositivi non dispongono di protezioni di sicurezza integrate sufficienti. Una percentuale significativa di responsabili della sicurezza ritiene che le proprie tecnologie attuali siano inadeguate per proteggere efficacemente i dispositivi IoT. Il volume e la diversità di questi dispositivi all'interno dell'infrastruttura energetica creano una superficie di attacco più ampia e complessa, difficile da monitorare e proteggere. Ogni dispositivo connesso rappresenta un potenziale punto di ingresso per gli aggressori se non adeguatamente protetto e gestito.
L'infrastruttura energetica si affida, inoltre, a vaste reti di fornitori e provider di servizi, ognuno dei quali può potenzialmente introdurre vulnerabilità. Gli aggressori potrebbero prendere di mira fornitori terzi meno sicuri per ottenere accesso a dati sensibili o sistemi critici. La complessità e l'opacità delle moderne catene di approvvigionamento rendono difficile valutare e mitigare tutti i potenziali rischi di cybersecurity introdotti da partner esterni. Una vulnerabilità in un fornitore apparentemente minore potrebbe essere sfruttata per compromettere un importante fornitore di energia.
Molte organizzazioni in Italia potrebbero avere una comprensione limitata delle minacce informatiche e delle misure di sicurezza. La mancanza di consapevolezza e formazione rende più facile per gli aggressori sfruttare le vulnerabilità. Un divario nelle competenze e nella consapevolezza in materia di cybersecurity all'interno del settore energetico italiano potrebbe essere un fattore che contribuisce a rendere il paese un bersaglio più facile.
Infine, i budget per la cybersecurity in Italia sono relativamente bassi rispetto ad altri paesi europei. Investimenti insufficienti in misure di cybersecurity possono lasciare il settore energetico italiano con difese più deboli contro attacchi sofisticati. Un finanziamento adeguato è fondamentale per implementare tecnologie di sicurezza avanzate, disporre di personale qualificato e condurre valutazioni di sicurezza regolari.
Tra gli attori malevoli degli incidenti cyber in Italia in ambito energetico evidenziamo:
Le motivazioni degli attori delle minacce sono diverse. La cybercriminalità è principalmente guidata dall'estorsione finanziaria (ransomware). L'hacktivism è caratterizzato da attacchi motivati da ragioni ideologiche o politiche. Gli attacchi sponsorizzati da stati (gruppi APT) mirano allo spionaggio, al sabotaggio o all'interruzione di infrastrutture critiche, spesso legati a conflitti geopolitici. In questo contesto, l'Italia è particolarmente esposta ad attacchi geopolitici. Comprendere le motivazioni alla base degli attacchi informatici è fondamentale per sviluppare un'intelligence sulle minacce efficace e strategie di difesa proattive. Motivazioni diverse implicano obiettivi, tattiche e potenziali impatti differenti.
L’Europa ha iniziato negli ultimi anni a normare in modo più stringente la sicurezza informatica delle infrastrutture critiche, introducendo direttive come NIS2 e CER. Queste normative stabiliscono obblighi di legge specifici che le aziende del settore energetico devono rispettare per rafforzare la loro resilienza contro gli attacchi informatici e garantire la protezione dei servizi essenziali. Vediamole nel dettaglio.
La Direttiva NIS2 (Network and Information Security 2) rappresenta un importante passo avanti per rafforzare la cybersecurity in Europa: questa direttiva ha un impatto significativo sul settore dell'energia, introducendo obblighi più stringenti in materia di cybersecurity. Ecco cosa prevede specificamente per questo settore:
Il settore energetico è esplicitamente incluso tra i settori critici coperti dalla NIS2, a causa della sua importanza per il funzionamento della società e dell'economia.
La direttiva distingue tra "entità essenziali" e "entità importanti" in base a criteri di dimensione e criticità del servizio fornito. Questa distinzione influisce sul livello di supervisione e sulle sanzioni applicabili in caso di non conformità. Generalmente, le grandi aziende del settore energetico saranno classificate come "essenziali", mentre le medie imprese potrebbero rientrare nella categoria "importanti".
Le entità del settore energetico, sia essenziali che importanti, sono tenute a rispettare una serie di obblighi, tra cui:
Data la complessità delle catene di approvvigionamento nel settore dell’energia, la NIS2 pone un forte accento sulla sicurezza della supply chain. Le aziende devono valutare i rischi legati ai propri fornitori e adottare misure per garantire che anche questi rispettino standard di sicurezza adeguati.
La Direttiva sulla resilienza delle entità critiche (CER - Critical Entities Resilience Directive), formalmente Direttiva (UE) 2022/2557, introduce un quadro normativo per rafforzare la resilienza delle infrastrutture critiche in tutta l'Unione Europea, con un impatto significativo sul settore energetico. A differenza della NIS2, che si concentra sulla cybersecurity, la CER si occupa principalmente della resilienza fisica delle entità critiche, sebbene ci sia una forte sinergia tra le due direttive. Ecco cosa prevede la CER specificamente per il settore dell’energia:
La CER stabilisce che gli Stati membri devono identificare le entità critiche nel settore energetico che forniscono servizi essenziali per il mantenimento di funzioni vitali della società, dell'economia, della salute pubblica, della sicurezza e dell'ambiente.
Questo processo di identificazione si basa su una valutazione del rischio che considera la probabilità e l'impatto di eventuali incidenti che potrebbero interrompere la fornitura di servizi essenziali. Rientrano in questa categoria diverse tipologie di entità, tra cui:
Le entità critiche identificate nel settore energetico sono soggette a una serie di obblighi, tra cui:
La CER prevede che gli Stati membri designino un'autorità competente responsabile dell'attuazione della direttiva e della supervisione delle entità critiche. La Commissione Europea supporta gli Stati membri attraverso la condivisione di buone pratiche, lo sviluppo di orientamenti e il coordinamento delle attività a livello UE.
È importante sottolineare la forte sinergia tra la CER e la NIS2. Mentre la CER si concentra sulla resilienza fisica, la NIS2 si concentra sulla cybersecurity. Entrambe le direttive mirano a proteggere le infrastrutture critiche e a garantire la continuità dei servizi essenziali, riconoscendo l'interconnessione tra il mondo fisico e quello digitale. Pertanto, le entità critiche del settore Energy & Utilities devono considerare entrambi gli aspetti per garantire una resilienza completa.
L'analisi vista finora evidenzia un significativo aumento degli attacchi informatici in Italia, come sottolineato dal Rapporto Clusit 2025. Le infrastrutture critiche rimangono un obiettivo primario per gli aggressori, con conseguenze potenzialmente gravi per i servizi essenziali. La Direttiva NIS2 e CER e le strategie nazionali di cybersecurity rappresentano fattori chiave per il rafforzamento delle difese ma permangono sfide continue, tra cui:
Si raccomanda di dare priorità all'applicazione delle Direttive, di considerare l'adozione di servizi di sicurezza avanzati come i sistemi di monitoraggio e risposta attivi H24 con esperti di cybersecurity a più livelli sempre disponibili in grado di bloccare sul nascere qualsiasi minaccia informatica e tentativo di intrusione. In questa direzione, CYBEROO si distingue in Italia con il suo servizio di monitoraggio e risposta H24 (MDR) riconosciuto da Gartner come l’unico italiano nella Gartner® Market Guide for Managed Detection and Response Services.
Alla base di un servizio evoluto, dev’esserci la consapevolezza di investire nelle proprie infrastrutture, nella modernizzazione dei sistemi legacy e nella protezione dei dispositivi IoT, oltre allo sviluppo di strategie di sicurezza della catena di approvvigionamento, di piani di risposta agli incidenti, di programmi di formazione e una maggiore condivisione di informazioni e collaborazione all'interno del settore e con le agenzie di cybersecurity nazionali e internazionali.
Di Luca Benatti - Head of Business Development Manager, CYBEROO