Per due semestri consecutivi, la minaccia numero uno rilevata nei sistemi OT e IoT delle organizzazioni italiane non è stata un ransomware né un attacco Denial of Service, ma la Data Manipulation, una tecnica che altera silenziosamente i dati operativi senza innescare allarmi evidenti.
È questo il dato che emerge dall’OT/IoT Security Report 2H 2025 di Nozomi Networks Labs, indagine basata su telemetria anonimizzata raccolta in ambienti di produzione reali in tutto il mondo, con un approfondimento specifico sul profilo italiano.
Indice degli argomenti
La Data Manipulation in Italia
La persistenza del fenomeno è il dato più rilevante. Nel primo semestre 2025 la Data Manipulation guidava già la classifica delle tecniche di attacco rilevate in Italia.
Nel secondo semestre ha confermato il primato, con oltre un quarto di tutti gli alert generati nei sistemi monitorati.
Non si tratta di una fiammata stagionale: è un pattern strutturale, radicato. Vale la pena notare che l’Italia aveva già occupato il primo posto per numero di alert per organizzazione nell’intero primo semestre 2024, prima di scendere nella classifica globale.
Il contesto attuale suggerisce che il livello di esposizione rimane elevato e il pattern Data Manipulation consolidato.
Cosa significa concretamente nella pratica OT
Nei sistemi informativi aziendali, la manipolazione dei dati può alterare record e database.
Negli ambienti OT – le reti che governano impianti produttivi, linee di assemblaggio, sistemi di controllo industriale – l’impatto è di natura diversa. I valori manipolati possono essere letture di sensori, parametri di processo, soglie di sicurezza.
Il sistema continua a funzionare. Gli operatori continuano a prendere decisioni. Ma lo fanno su dati falsati.
Nel framework MITRE ATT&CK, la Data Manipulation corrisponde alla tecnica T1565, classificata sotto la tattica Impact: il suo obiettivo non è quello di bloccare un sistema, ma di degradarne l’affidabilità informativa in modo che le conseguenze si manifestino a valle, lontano dall’atto iniziale.
A differenza del ransomware, che si annuncia con una nota di riscatto, la Data Manipulation può restare invisibile per settimane o mesi.
Le conseguenze possono includere difetti di produzione non rilevati, comportamenti anomali dei macchinari, violazioni di conformità, perdite economiche che emergono solo a posteriori.
Il contesto italiano nel panorama europeo
Il profilo dell’Italia non è isolato nel contesto europeo: anche in Germania, secondo paese più colpito a livello globale nella telemetria secondo il report, la tecnica dominante nel secondo semestre 2025 è stata la Data Manipulation, con il 38,8% degli alert.
È un dato significativo: mentre a livello globale l’Adversary-in-the-Middle (AiTM) la fa da padrone, associato al 26,5% di tutti gli alert e in forte crescita rispetto al 16% del semestre precedente, i due principali contesti manifatturieri dell’Europa continentale mostrano un profilo distinto, centrato sull’alterazione silenziosa dei dati piuttosto che sul furto di credenziali.
Questa convergenza non è casuale: suggerisce che gli attori che operano contro ambienti industriali europei hanno sviluppato una preferenza strategica per tecniche persistenti e difficili da rilevare rispetto a quelle immediatamente disruptive.
Il report di Nozomi Networks cita esplicitamente la logica sottostante: “Gli hacker potrebbero dare priorità alla manipolazione dei dati perché alterarli silenziosamente può fuorviare decisioni e operazioni, causando un impatto reale pur rimanendo di più difficile rilevamento rispetto a un’interruzione diretta”.
In un contesto manifatturiero, dove la qualità del prodotto finale dipende dall’integrità dei dati di processo, questa logica è particolarmente efficace.
I settori più colpiti
I dati del report mostrano che il settore più colpito in Italia nel secondo semestre 2025 è stato il manifatturiero, seguito dai trasporti.
Questa distribuzione riflette la struttura del tessuto industriale nazionale. Il quadro è aggravato da altri indicatori rilevati nello stesso periodo.
Secondo i dati dell’Agenzia per la Cybersicurezza Nazionale (ACN), i gravi incidenti cyber in Italia sono aumentati del 13% a novembre 2025 rispetto a ottobre.
L’attività DDoS a livello nazionale è cresciuta in modo significativo, con tentativi di interruzione del servizio segnalati in modo diffuso.
Nell’estate 2025, un attacco coordinato ha colpito più strutture alberghiere italiane, con il furto di decine di migliaia di documenti di identità scansionati.
Le vulnerabilità OT presenti negli ambienti italiani
La telemetria del report identifica le tre vulnerabilità 2025 più diffuse negli ambienti OT monitorati in Italia:
- CVE-2025-40820 (CVSS 7.5) – Verifica impropria della fonte di un canale di comunicazione.
- CVE-2025-24811 (CVSS 7.5) – Gestione impropria del rilascio delle risorse, Siemens SIMATIC S7-1200.
- CVE-2025-40944 (CVSS 8.7) – Consumo incontrollato di risorse.
Il Siemens SIMATIC S7-1200 è uno dei PLC più diffusi in ambito industriale: la sua presenza nel profilo di vulnerabilità italiano è coerente con l’alta penetrazione di questo hardware nelle linee produttive manifatturiere.
A livello globale, i vendor OT più colpiti nel 2025 sono stati Siemens, Rockwell Automation e Schneider Electric: una triade che copre buona parte dell’hardware installato nelle fabbriche italiane.
Il 48% delle vulnerabilità 2025 rilevate negli ambienti monitorati ha un punteggio CVSS classificato come High o Critical, un dato che richiede sistemi di prioritizzazione del rischio, non semplici liste di patch da applicare.
L’esposizione wireless: un rischio aggiuntivo spesso ignorato
La telemetria del report evidenzia un dato rilevante anche per il contesto italiano: il 68% delle reti wireless monitorate negli ambienti industriali non dispone di Management Frame Protection (MFP), la funzionalità che protegge i frame di controllo del protocollo Wi-Fi da manipolazioni esterne. Solo lo 0,3% delle reti utilizza autenticazione enterprise-grade basata su 802.1X, lo standard minimo richiesto per ambienti critici.
La quasi totalità fa affidamento su autenticazione PSK (Pre-Shared Key), lo stesso modello di sicurezza utilizzato nelle reti Wi-Fi di uso domestico o nei locali pubblici.
In ambienti OT, questa debolezza è particolarmente critica: le credenziali condivise sono difficili da revocare selettivamente, non consentono accountability individuale e, una volta compromesse, offrono un accesso durevole all’ambiente.
La convergenza crescente tra reti IT e OT, e la presenza sempre più frequente di dispositivi Bluetooth, moduli radio industriali e sistemi wireless in ambienti che formalmente si descrivono come “completamente cablati”, rende questa superficie di attacco reale e spesso non mappata.
Il ruolo crescente dell’AI nel panorama delle minacce
Un elemento trasversale emerso nel report è l’accelerazione dell’uso dell’intelligenza artificiale sia da parte degli attaccanti che dei difensori.
Sul versante offensivo, l’AI viene impiegata per la scoperta automatizzata di vulnerabilità, per la generazione di messaggi di phishing più convincenti, per lo sviluppo più rapido di varianti di malware.
Il report cita anche esperimenti documentati con ransomware potenziato da AI.
Per i team di sicurezza OT, questo significa che la finestra temporale tra la scoperta di una vulnerabilità e il suo sfruttamento attivo si sta accorciando, rendendo ancora più urgente l’adozione di sistemi di rilevamento comportamentale capaci di identificare anomalie prima che diventino incidenti.
Perché la visibilità OT non è un lusso
La risposta tecnica alla Data Manipulation passa per un principio semplice: non si può rilevare ciò che non si vede.
La maggior parte degli ambienti OT italiani non dispone ancora di strumenti di visibilità continua sul traffico industriale, né di sistemi di rilevamento comportamentale capaci di identificare variazioni anomale nei valori operativi.
Questa lacuna è il presupposto che rende la tecnica efficace.
Il Cyber Resilience Act dell’UE (Regolamento UE 2024/2847), di cui le aziende italiane hanno avviato l’adeguamento in questo periodo, introduce requisiti di cybersicurezza vincolanti per i prodotti connessi che si applicano anche ai sistemi industriali connessi, con implicazioni concrete per i produttori di dispositivi OT e IoT.
Ma gli obblighi normativi non sostituiscono la capacità operativa di rilevamento: la compliance è un punto di partenza, non un punto di arrivo.
Le raccomandazioni del report si articolano su più livelli.
Il primo è la visibilità completa e continua su tutti gli asset OT e IoT e sulle comunicazioni tra di essi: senza un inventario aggiornato e un monitoraggio del traffico industriale, l’anomaly detection non è possibile.
Il secondo è l’adozione di piattaforme di sicurezza basate su AI e machine learning, capaci di costruire una baseline comportamentale dell’ambiente e di rilevare deviazioni che segnalano attività anomala prima che si traduca in impatto operativo.
Il terzo è la gestione delle vulnerabilità risk-based: non tutte le CVE rilevate hanno la stessa urgenza, e in ambienti OT dove la disponibilità operativa è critica, la prioritizzazione deve tenere conto della criticità degli asset e dell’effettiva exploitability, non solo del punteggio CVSS.
Per il manifatturiero italiano, che costruisce il proprio vantaggio competitivo sulla precisione, sulla qualità e sulla continuità operativa, la visibilità OT non è un investimento opzionale. Ma è la condizione abilitante per rilevare l’attacco che non si annuncia.
