Ci sono segnali che non fanno “notizia”. Non esplodono, non bloccano aeroporti, non mandano in onda il solito comunicato con il teschio digitale e la richiesta di riscatto, ma sono più discreti, quindi più pericolosi. Negli ultimi quattro anni gli attacchi contro sistemi ICS e SCADA non hanno mostrato soltanto una crescita quantitativa, ma soprattutto un cambiamento di natura. Il punto non è più quanti malware vengano intercettati sui computer industriali, ma che cosa cercano di fare quelli che passano, o quelli che non hanno più bisogno di presentarsi come malware tradizionali.
Prendiamo un dato apparentemente rassicurante. Kaspersky, nel primo trimestre 2025, ha segnalato oggetti malevoli bloccati sul 21,9% dei computer ICS monitorati, una percentuale inferiore rispetto allo stesso periodo del 2024. Bene, verrebbe da dire, poi però conviene evitare l’antica abitudine di scambiare il sintomo per la malattia. Quel numero misura soprattutto il rumore di fondo: file sospetti, minacce generiche, tentativi più o meno ordinari che attraversano anche gli ambienti industriali. Tuttavia, non misura necessariamente la capacità di un attaccante di incidere sui processi fisici.
La tendenza più preoccupante è un’altra: gli attacchi stanno scendendo di livello, non nel senso della qualità, ma della profondità perché vanno verso la logica industriale. Dal 2022, gli attori ostili hanno iniziato a sviluppare strumenti pensati per interagire con PLC, HMI, workstation di ingegneria, protocolli industriali e file di progetto. Sono parole un po’ ostiche, lo capisco, ma indicano oggetti molto concreti: i dispositivi che comandano, gli schermi che mostrano, le stazioni da cui si configura, i linguaggi con cui le macchine si capiscono tra loro.
Questo è il salto qualitativo. Per anni abbiamo immaginato l’attacco informatico come un malware che entra, cifra i file, blocca il servizio, chiede denaro. Oggi, nei casi più avanzati, l’attaccante vuole capire dove sono gli interruttori, imparare quali luci accendere per far credere che tutto sia normale mentre in realtà succede altro: meno malware visibile, più conoscenza del processo.
Il caso FrostyGoop lo racconta bene. Nel 2024 questo strumento, rivolto a specifici dispositivi, è stato collegato a un attacco contro il teleriscaldamento ucraino, con azzeramento del servizio per centinaia di edifici. Non siamo più nel dominio astratto del “dato compromesso”, ma in quello di persone che si accorgono del problema non perché leggono un report tecnico, ma perché qualcosa che doveva funzionare a cessato di farlo e così la Rete smette di essere un altro mondo e diventa una mano che tocca il termosifone.
Lo stesso filo attraversa gli altri casi recenti. In Messico, secondo la società di cybersecurity Dragos, dopo la compromissione dell’ambiente IT di una utility idrica, un attaccante avrebbe usato strumenti di intelligenza artificiale, tra cui Claude, per mappare la rete interna e individuare sistemi SCADA per il controllo dei dispositivi industriali. Non un sabotaggio conclamato, ma un avvicinamento.
In Polonia, l’ABW, agenzia per la sicurezza cyber, ha segnalato intrusioni nei sistemi ICS di cinque impianti di trattamento acque; in alcuni casi gli aggressori avrebbero potuto modificare parametri operativi delle apparecchiature, con rischi per la continuità del servizio e l’approvvigionamento idrico. Anche qui il linguaggio prova a tranquillizzarci. “Parametri operativi” sembra una formula da verbale tecnico. In realtà, molto banalmente, significa poter interferire con il modo in cui un impianto tratta l’acqua, regola le pompe, mantiene stabile un servizio essenziale. La distanza tra una configurazione alterata e un rubinetto asciutto può essere più breve di quanto vorremmo.
Il caso della nave da crociera GNV Fantastic porta lo stesso problema in mare. Il traghetto, fermo a Sète, è finito al centro di un’indagine francese per il sospetto che qualcuno volesse permettere l’accesso remoto ai sistemi di navigazione. L’ipotesi di un controllo effettivo della nave non è dimostrata, e questo va detto con chiarezza. Tuttavia, il caso segnala la fragilità dei confini tra IT di bordo, sistemi operativi e navigazione. Una nave moderna non è soltanto scafo, motori e plancia, ma ormai un sistema informatico galleggiante.
Nel 2025 Dragos ha osservato attaccanti impegnati non solo a entrare nelle reti industriali, ma a mappare control loop, attuatori, gateway, HMI e configurazioni operative. Questa è forse la frase più importante di tutte, anche se sembra la meno spettacolare e molto criptica. Mappare un control loop significa voler capire il ciclo con cui un processo si misura, si corregge e si mantiene stabile. Studiare gli attuatori significa interessarsi a ciò che produce movimento. Guardare le HMI significa guardare ciò che vede l’operatore. Siamo davanti a qualcuno che impara.
Nel 2026, un rapporto congiunto di CISA, FBI, NSA e altre agenzie di sicurezza statunitensi ha segnalato attacchi iraniani contro sistemi industriali esposti su Internet, con manipolazione di file di progetto. Anche CNN ha riportato azioni contro siti statunitensi energentici e idrici, con disturbi e danni operativi ed economici. Ancora una volta il punto è la manipolazione. Se altero un file di progetto, cambio il modo in cui una macchina è pensata per funzionare. Se manipolo un display SCADA, posso cambiare ciò che un essere umano crede di vedere. È una forma sottile di sabotaggio: non colpire soltanto la macchina, ma anche la fiducia tra l’uomo e la macchina.
Il ransomware resta il principale acceleratore di questa fragilità. Spesso nasce come incidente IT, magari dal solito accesso compromesso, dalla solita credenziale rubata, dal solito perimetro difeso con la convinzione eroica che “tanto qui non succede”. Poi però si propaga, blocca produzione, visibilità e controllo operativo. Anche quando non nasce per manipolare direttamente un processo industriale, può impedirci di vederlo e governarlo.
Per questo continuare a raccontare la cybersecurity industriale come una questione di antivirus, firewall e buone intenzioni è un buon modo per arrivare impreparati. Servono segmentazione vera tra i sistemi, inventari affidabili, dispositivi non esposti inutilmente, controllo degli accessi, monitoraggio dei protocolli industriali, esercitazioni, procedure di funzionamento degradato. Soprattutto serve una maturità culturale: capire che non stiamo proteggendo computer, ma processi fisici mediati da computer.
Il problema, dunque, è che gli attaccanti stanno imparando a parlare la lingua delle macchine e quando qualcuno conosce la lingua, può non limitarsi a spegnerle, ma convincerle a fare la cosa sbagliata nel momento peggiore.