La cybersecurity OT in Italia tra maturità limitata e pressioni normative

Mar 19, 2026 Redazione Approfondimenti, In evidenza, News, RSS, Scenari, Scenario, Scenario 0

Secondo un’analisi condotta da HWG Sababa e presentata all’interno del Rapporto Clusit 2026, emerge un quadro estremamente dettagliato e critico sullo stato della sicurezza nei sistemi industriali italiani. I dati, raccolti tra ottobre 2024 e ottobre 2025 attraverso attività di gap analysis e risk assessment lungo l’intera supply chain OT, delineano un ecosistema ancora fragile, in cui le vulnerabilità non sono solo tecnologiche ma profondamente organizzative.

L’indagine coinvolge asset owner, system integrator e vendor tecnologici, offrendo una visione trasversale che evidenzia come le debolezze principali siano radicate nei modelli di governance, nei processi e nell’integrazione tra IT e OT, più che nei singoli strumenti di sicurezza.

Settori più attivi: compliance normativa come driver principale

Uno dei dati più significativi riguarda la distribuzione del numero di assessment di sicurezza effettuati nei diversi comparti industriali. Il settore Energy rappresenta il 35% dei casi analizzati, seguito da logistica e trasporti con il 21% e dal manifatturiero con il 17%. Questa concentrazione non è casuale. I settori maggiormente coinvolti sono quelli più esposti agli obblighi normativi europei, in particolare alla Direttiva NIS2, al Cyber Resilience Act e al Regolamento Macchine. Il dato suggerisce che la spinta principale verso l’adozione di pratiche di cybersecurity deriva ancora dalla compliance piuttosto che da una reale maturità della gestione del rischio.

Segmentazione IT/OT, governance e incident response

Sul piano tecnico, oltre il 50% delle organizzazioni dichiara di aver introdotto una separazione tra rete IT e rete OT. Tuttavia, nella maggior parte dei casi, tale separazione non è accompagnata da una segmentazione completa. La situazione evidenzia un gap architetturale significativo. La semplice separazione logica non è sufficiente a garantire sicurezza, se non è supportata da controlli granulari e da una gestione rigorosa delle comunicazioni tra domini. Dal punto di vista della governance, i dati più critici emergono sul piano organizzativo. Poco più del 10% delle aziende dispone di ruoli e responsabilità formalizzati per la cybersecurity OT, e una percentuale analoga adotta processi strutturati di gestione del rischio. La mancanza di governance si traduce in una difficoltà nel coordinare attività, priorità e investimenti. Senza una chiara attribuzione di responsabilità, la sicurezza resta frammentata e inefficace, soprattutto in ambienti complessi come quelli industriali. Un altro dato particolarmente rilevante riguarda la gestione degli incidenti. Solo il 20% degli asset owner dispone di un piano di incident response specifico per ambienti OT, mentre appena il 5% effettua test periodici.

Maturità cyber e pressione normativa: un equilibrio ancora instabile

Come questi dati dimonstrano, l’aumento della consapevolezza dovuto all’evoluzione normativa europea si scontra ancora con un livello di maturità complessiva molto limitato. I dati mostrano che le organizzazioni stanno avviando percorsi di assessment, ma non hanno ancora raggiunto un livello adeguato di strutturazione dei processi e dei controlli. La pressione normativa rappresenta quindi un’opportunità ma anche una sfida. Le aziende devono trasformare gli obblighi di compliance in leve di miglioramento reale della sicurezza, evitando approcci superficiali o puramente documentali perché, ricordiamocelo, i criminali non si fermano con i fogli di carta.

Condividi l'articolo