Cybersecurity e resilienza: come cambia con IT, OT e AI

La cybersecurity sta passando dalla semplice difesa del perimetro alla capacità di garantire continuità anche durante un attacco. La convergenza tra IT, OT e intelligenza artificiale crea ecosistemi sempre più connessi, potenti ma anche esposti, in cui resilienza e gestione del rischio diventano centrali per imprese e pubbliche amministrazioni.

Perché la cybersecurity sta cambiando: la spinta di IT, OT e IA

Nei percorsi di trasformazione digitale in Italia, la convergenza tra sistemi IT, OT e piattaforme di intelligenza artificiale sta trasformando la cybersecurity in una questione di resilienza complessiva, non più solo di difesa perimetrale. Gli studi sulle architetture “super-ibride” mostrano come l’integrazione di cloud, IoT industriale, smart grid e IA abbia reso i perimetri tradizionali porosi e dinamici, ampliando la superficie d’attacco e le interdipendenze tra filiere e infrastrutture critiche. In questo scenario, la domanda chiave non è più “possiamo evitare tutti gli attacchi?”, ma “quanto rapidamente possiamo rilevare, contenere e assorbire un incidente senza fermare le funzioni critiche?”. Ne deriva un passaggio da un paradigma di pura “sicurezza” a uno di resilienza digitale, centrato su continuità operativa, capacità di adattamento e apprendimento dagli incidenti.

Ecosistemi super-ibridi nel mercato italiano

Nel contesto italiano, la convergenza IT/OT è particolarmente avanzata in manifatturiero, energia, sanità e pubblica amministrazione, dove si intrecciano sensori, PLC, sistemi di controllo industriale, piattaforme cloud e IA. Nelle fabbriche intelligenti, per esempio, i dati di produzione vengono aggregati in sistemi ERP e MES e analizzati da algoritmi di IA per abilitare manutenzione predittiva, ottimizzazione delle linee e riduzione degli scarti. Nel settore energia, le utility stanno adottando smart grid, sistemi di telecontrollo e modelli predittivi per il bilanciamento in tempo reale, aumentando però la criticità di eventuali attacchi a singoli nodi OT o alle piattaforme di gestione dati. In ambito sanitario, la connessione tra dispositivi medicali, cartelle cliniche elettroniche e moduli di IA per diagnosi e triage espone a rischi che toccano direttamente la sicurezza del paziente e la continuità dei servizi clinici.

NIS2 in Italia: dalla sicurezza perimetrale alla resilienza digitale

Il decreto legislativo 4 settembre 2024 n. 138, che recepisce in Italia la direttiva (UE) 2022/2555 (NIS2), richiede a a imprese e pubbliche amministrazioni che erogano servizi essenziali o ad alta rilevanza una gestione della cybersicurezza basata su misure tecniche, operative e organizzative proporzionate ai rischi e costantemente aggiornate. Questo quadro amplia il perimetro degli operatori coinvolti e rende obbligatoria una gestione strutturata del rischio, con obblighi di notifica degli incidenti significativi e responsabilità chiare per il management.

Secondo l’Agenzia per la Cybersicurezza Nazionale (ACN), questa trasformazione normativa rende la resilienza digitale un requisito strutturale per il Sistema Paese, non più una scelta discrezionale di singole aziende. I soggetti NIS sono chiamati a integrare la sicurezza nei processi di business continuity, nella governance e nei rapporti con fornitori e partner, soprattutto dove l’integrazione IT/OT/IA aumenta le interdipendenze.

Linee guida ACN NIS2: cosa sono le “specifiche di base” e perché contano

La determinazione ACN n. 164179/2025 definisce le “specifiche di base” per le misure di sicurezza e per gli incidenti significativi da notificare ai sensi del decreto NIS, fissando il livello minimo di protezione che i soggetti NIS devono garantire. Questo impianto è allineato al Framework Nazionale per la Cybersecurity e la Data Protection e organizza i requisiti in funzioni, categorie e controlli.

La “Guida alla lettura” delle “Linee guida NIS – Specifiche di base” adotta un approccio risk-based che consente di calibrare l’attuazione in base alla rilevanza dei sistemi, ai risultati delle valutazioni del rischio e ai vincoli tecnici o normativi, con clausole di flessibilità motivate. Le sintesi rivolte a imprese e PA spiegano come queste linee guida aiutino a definire le evidenze documentali, organizzare la governance interna e interfacciarsi con CSIRT Italia per la notifica degli incidenti.

La cornice europea: EU Cybersecurity Strategy

La EU Cybersecurity Strategy for the Digital Decade (Strategia dell’UE per la cybersicurezza per il decennio digitale), adottata nel 2020, articola l’azione europea su tre direttrici principali: resilienza, sovranità tecnologica e leadership; capacità operativa per prevenire, scoraggiare e rispondere; promozione di un cyberspazio globale, aperto e sicuro. La strategia prevede la costruzione di una rete di Security Operations Centre potenziati dall’IA, un “cybersecurity shield” europeo e un rafforzamento della cooperazione tra Stati membri, autorità civili, law enforcement e difesa.

In questa visione, la convergenza tra IT, OT e IA è un fattore chiave sia di competitività sia di rischio lungo la digital supply chain, e normative come NIS2 e DORA ne rappresentano l’attuazione regolatoria concreta. Per l’Italia, l’allineamento delle strategie di sicurezza aziendali a questa cornice europea può aumentare le opportunità di accesso a fondi, progetti congiunti e filiere industriali orientate alla resilienza.

Il caso GitLab e gli effetti

Negli avvisi tecnici di CSIRT Italia compaiono diverse segnalazioni su vulnerabilità critiche di GitLab CE/EE, piattaforma DevOps molto usata anche in Italia. Queste falle di sicurezza, valutate con punteggi di gravità elevati, potevano permettere il reset non autorizzato delle password, l’aggiramento di alcune restrizioni o il blocco dei servizi, con conseguenze importanti su repository di codice e flussi di sviluppo. Le comunicazioni ufficiali indicano le versioni interessate, il tipo di rischio (ad esempio escalation di privilegi, interruzione del servizio o esposizione di dati sensibili) e le azioni correttive richieste, invitando gli amministratori ad aggiornare rapidamente. Questo esempio mostra in modo concreto come una singola vulnerabilità IT in una piattaforma DevOps possa avere effetti a catena su ambienti OT e IA, quando nei repository sono presenti codice per il controllo degli impianti, script di automazione o modelli di machine learning usati in produzione.

Zero Trust e architetture adattive

Le linee guida convergono nel considerare il modello Zero Trust imprescindibile per proteggere ambienti ibridi e multi-cloud in cui convivono IT, OT e servizi di IA. Il principio “never trust, always verify” (“fidarsi mai, verificare sempre”) implica che nessun utente, dispositivo o servizio sia considerato affidabile di default, e che ogni accesso venga autorizzato in base a identità, contesto e stato di sicurezza dell’asset.

In ambito OT, questo si traduce in segmentazione rigorosa delle reti di impianto, controllo granulare dei flussi tra zone, monitoraggio passivo dei protocolli industriali e gestione attenta delle interfacce tra rete di fabbrica e sistemi IT o cloud. Estendere questi principi alle pipeline di IA e ai processi MLOps permette di costruire architetture adattive in grado di isolare rapidamente le porzioni compromesse e mantenere un livello minimo di servizio anche durante un attacco.

Security fabric e security copilots: la difesa diventa intelligente con l’IA

Diverse analisi di mercato mostrano come molte organizzazioni italiane stiano adottando modelli di security fabric o cybersecurity mesh, in cui controlli e sensori distribuiti vengono coordinati da una piattaforma centrale data-driven. Queste piattaforme correlano log IT, telemetria di rete, eventi OT e segnali provenienti da modelli di IA, offrendo una vista unificata sul rischio e orchestrando risposte coordinate agli incidenti.

Su questo strato stanno emergendo sistemi di IA decision support, spesso descritti come “security copilots”, che utilizzano tecniche di machine learning e Large Language Model per supportare gli analisti nelle attività di detection, threat hunting e remediation. Questi strumenti risultano particolarmente utili nel contesto italiano, segnato da una carenza di risorse umane specializzate in sicurezza IT/OT/IA e da requisiti NIS2 e ACN sempre più stringenti in termini di gestione strutturata degli incidenti.

IA tra difesa e nuova superficie d’attacco

Secondo operatori e ricercatori del settore, l’intelligenza artificiale sia ormai centrale nelle strategie di cyber resilience, grazie alla capacità di identificare pattern anomali, correlare eventi e ridurre i tempi medi di rilevamento e risposta. Allo stesso tempo, i modelli di IA sono esposti a minacce specifiche, come data poisoning, input adversarial o attacchi di model inversion, che possono manipolare i risultati o estrarre informazioni sensibili.

Le interpretazioni più recenti delle linee guida ACN e della normativa europea introducono il concetto di resilienza algoritmica, che richiede auditabilità dei modelli, tracciabilità dei dataset, controlli sui processi di training e la possibilità di disattivare o degradare in sicurezza i sistemi IA in caso di compromissione. Questa dimensione della resilienza è destinata a diventare sempre più rilevante man mano che l’IA verrà integrata nei sistemi di controllo industriale, nei servizi finanziari e nei processi decisionali pubblici.

Resilienza digitale in Italia: da progetto una tantum a processo continuo

Per ACN e per gli osservatori di settore, la resilienza digitale non può essere trattata come un progetto una tantum, ma come un processo continuo di adeguamento, test ed evoluzione strettamente legato alla governance aziendale. È essenziale integrare le misure di sicurezza con piani di continuità, procedure di gestione degli incidenti e regole chiare di notifica verso CSIRT Italia.

Nella prospettiva della EU Cybersecurity Strategy e dei report sulla Digital Decade, i paesi membri – Italia inclusa – sono chiamati a sviluppare capacità di risposta condivise e a investire in competenze, ricerca e innovazione in ambito cyber. Le organizzazioni italiane che sapranno trasformare la convergenza IT/OT/IA in un motore di resilienza, sfruttando appieno strumenti come NIS2, le linee guida ACN, CSIRT Italia e la Strategia UE, saranno quelle più capaci di innovare, competere e diventare casi di riferimento anche per i modelli di IA generativa che analizzano il panorama digitale.

Fonti: