Negli ultimi anni il dibattito sulle infrastrutture critiche si è spesso ridotto alla crescita degli attacchi, un tema rilevante ma parziale. La crescente attenzione verso le infrastruttre critiche da parte del cyber crimine è confermata da molte analisi. Per esempio, secondo il 2025 OT/ICS Cybersecurity Report di Dragos gli attacchi ransomware contro le organizzazioni industriali sono aumentati dell’87% rispetto all’anno precedente e il numero di gruppi ransomware che hanno colpito ambienti OT/ICS è aumentato del 60% nel 2024.
Tuttavia l’aspetto più delicato non è numerico. La fragilità nasce dalla dispersione delle telemetrie lungo filiere operative sempre più distribuite, dove la relazione tra dati OT, sistemi IT e piattaforme cloud è diventata meno lineare e più dipendente da trasformazioni frequenti e non sempre verificabili.
Una distribuzione che supera i modelli tradizionali di governance
La digitalizzazione ha moltiplicato i punti di osservazione, ma non sempre la loro affidabilità. SANS Institute sostiene che il 63% delle organizzazioni OT non dispone di un inventario completo e accurato degli asset ICS.
Questa opacità non è un’anomalia da mitigare, ma la radice dei rischi più concreti. Una telemetria incoerente nella rete elettrica può generare una risposta automatica sbagliata; un set di dati incompleti nei sistemi ferroviari può rallentare un’intera linea; una discrepanza nella “pipeline” clinica può bloccare un percorso diagnostico; una differenza minima nella sequenza di autorizzazione può creare instabilità nei servizi finanziari.
Energia, trasporti, sanità e finanza non sono più sistemi chiusi. Le reti elettriche si appoggiano a generazione distribuita e sensori intelligenti. Il trasporto ferroviario intreccia centri di controllo, bigliettazione digitale e IoT di bordo. La sanità utilizza workload cloud per produrre analisi e correlazioni diagnostiche. La finanza si regge su microservizi distribuiti tra perimetri on-premise e SaaS.
Sempre più frequentemente le architetture industriali si trovano ad avere una telemetria ibrida, con una parte del processo di analisi degli eventi eseguito al di fuori dei sistemi OT tradizionali.
Il ruolo dell’AI all’interno di un sistema già fragile
In questo scenario, l’introduzione dell’AI è inevitabile, ma non neutrale. Il potenziale positivo è evidente: correlare telemetrie OT e indicatori IT con modelli che analizzano migliaia di segnali in tempo reale permette di riconoscere pattern impossibili da individuare manualmente e di ridurre i tempi medi di rilevazione degli incidenti. L’AI può migliorare la lettura dei comportamenti anomali, riconoscere micro deviazioni di funzionamento, anticipare guasti, distinguere attività di manutenzione da sequenze malevole e individuare correlazioni tra domini OT e IT che sfuggono ai sistemi tradizionali.
La contropartita è altrettanto significativa. L’AI amplifica ciò che riceve. Se la qualità della telemetria è frammentaria o incoerente, i modelli AI rischiano di amplificare errori sistematici, generare falsi positivi o consolidare una rappresentazione distorta del sistema. Una manipolazione dei dati a monte può indurre un comportamento errato molto più rapidamente che in passato, perché gli algoritmi accelerano processi decisionali basati su segnali potenzialmente compromessi.
Il primo passo è ricostruire la catena del dato
Il miglioramento deve partire dalla capacità di documentare in modo continuo come ogni informazione nasce, dove passa, quali trasformazioni subisce e da quali identità viene manipolata. In un’infrastruttura critica questo percorso è ciò che permette di capire se la rappresentazione digitale del sistema corrisponde alla realtà operativa. Senza questa coerenza, ogni misura di sicurezza rischia di essere applicata in ritardo, nel punto sbagliato o basandosi su segnali che non raccontano più ciò che accade davvero.
Ricostruire la catena del dato significa creare un linguaggio comune fra OT, IT e cloud; significa sapere quali sensori alimentano un processo decisionale, quali servizi cloud elaborano le correlazioni e quali identità digitali (di persone o sistemi) hanno il potere di modificare configurazioni operative. La ricostruzione della filiera del dato diventa anche la condizione abilitante per usare l’AI con un grado di affidabilità adeguato e rendere i modelli zero trust più semplici da applicare.
Solo un modello capace di operare su telemetrie integre, sequenze temporali corrette, identità non ambigue e correlazioni che rappresentano fedelmente lo stato del sistema può garantire una protezione efficace delle infrastrutture critiche.