Secondo gli Osservatori del Politecnico di Milano (report Smart Factory 2025), l'80% delle grandi aziende manifatturiere italiane ha gia avviato progetti di Industrial IoT, con un mercato che nel 2025 ha toccato 1,04 miliardi di euro (+15% rispetto al 2024). Il problema? La maggior parte di queste aziende ha collegato la rete dell'ufficio alla rete della produzione senza pensare troppo alla sicurezza. E qui iniziano i guai.
Cos'e la Convergenza IT-OT e Perche Sta Succedendo
Partiamo dalle basi. IT sta per Information Technology: computer, email, ERP, gestionale, tutto quello che sta negli uffici. OT sta per Operational Technology: PLC, SCADA, sensori, macchinari, tutto quello che sta in produzione e muove fisicamente le cose.
Per decenni questi due mondi hanno vissuto separati. Il computer dell'ufficio non parlava con il tornio CNC, e il tornio CNC non aveva bisogno di internet. Poi e arrivata l'Industry 4.0 e tutto e cambiato. Le aziende hanno iniziato a collegare i macchinari alla rete aziendale per raccogliere dati in tempo reale, monitorare la produzione dal gestionale, fare manutenzione predittiva e ottimizzare i processi. Tutto molto bello, finche qualcuno non si chiede: "ma se un virus entra dall'email di un impiegato, puo arrivare fino ai macchinari?"
La risposta breve e: si, puo. E succede piu spesso di quanto pensi.
I Rischi Concreti: Quando l'Ufficio Parla con la Produzione
Il problema principale della convergenza IT-OT e semplice da capire: se colleghi due reti che prima erano separate, un attaccante che entra in una puo raggiungere l'altra. Secondo IBM X-Force Threat Intelligence Index 2025, il settore manifatturiero e stato il piu colpito dagli attacchi informatici per il quarto anno consecutivo, con il 25,7% di tutti gli incidenti globali. Il 70% di questi attacchi ha sfruttato proprio la connessione tra IT e OT.
Ma cosa significa in pratica? Facciamo un esempio concreto.
Scenario reale: dal click alla produzione ferma in 20 minuti
Lunedi mattina, ore 9:15. Un impiegato dell'amministrazione apre un'email che sembra arrivare dal corriere. Clicca sul link per "tracciare la spedizione". In realta scarica un ransomware.
9:17 - Il malware si installa sul PC dell'impiegato e inizia a scansionare la rete.
9:22 - Trova il server del gestionale. Lo cifra. Ma non si ferma.
9:28 - Attraverso la rete piatta (senza segmentazione), raggiunge i PLC in produzione.
9:35 - I macchinari iniziano a comportarsi in modo anomalo. Gli operatori non capiscono perche.
9:40 - La produzione si ferma. Riscatto richiesto: 250.000 euro in Bitcoin.
Tempo totale dal click alla produzione ferma: 25 minuti. Costo del fermo: 300.000+ euro al giorno tra mancata produzione, penali contrattuali e straordinari per il ripristino.
Non e fantascienza. E quello che e successo a decine di aziende manifatturiere italiane negli ultimi due anni. La cosa peggiore? Con una corretta segmentazione di rete, il ransomware si sarebbe fermato al PC dell'impiegato. Non avrebbe mai raggiunto la produzione.
IT vs OT: Due Mondi con Regole Diverse
Per capire perche la convergenza IT-OT e cosi complicata, bisogna capire che IT e OT hanno priorita completamente diverse. E non e solo una questione tecnica: e proprio una differenza di mentalita.
| Aspetto | IT (Ufficio) | OT (Produzione) |
|---|---|---|
| Priorita principale | Riservatezza dei dati (CIA: Confidentiality first) | Disponibilita continua (uptime 24/7/365) |
| Aggiornamenti | Patch mensili, reboot accettabile | Firmware vecchi di 10-15 anni, ZERO reboot |
| Ciclo di vita | 3-5 anni poi si cambia | 15-25 anni, i macchinari costano milioni |
| Protocolli | TCP/IP, HTTPS, SSH | Modbus, OPC UA, PROFINET, EtherNet/IP |
| Reazione a un problema | Spegni, riavvia, ripristina da backup | NON puoi spegnere un altoforno o una pressa in funzione |
| Competenze | Sistemisti, developer, IT manager | Ingegneri di processo, elettricisti, manutentori |
| Antivirus/EDR | Standard su ogni PC | Spesso impossibile da installare sui controller |
Vedi il problema? Il team IT vuole aggiornare tutto, il team OT non vuole toccare niente perche "funziona e non si tocca". L'IT protegge i dati, l'OT protegge i processi fisici. Un errore lato IT ti fa perdere dei file. Un errore lato OT puo farti perdere una mano (o peggio).
Questa differenza culturale e il primo ostacolo da superare in un progetto di convergenza IT-OT. Se non metti d'accordo i due mondi, qualsiasi soluzione tecnica fallira.
I 5 Passi per una Convergenza IT-OT Sicura
Dopo aver lavorato con decine di aziende manifatturiere in Lombardia, in BullTech abbiamo messo a punto un percorso in 5 passi che funziona. Non e teoria da convegno: e quello che facciamo davvero quando un'azienda ci chiama.
1. Inventario completo di tutti i dispositivi IT e OT
Non puoi proteggere quello che non sai di avere. Mappiamo ogni dispositivo connesso alla rete: dal PC dell'amministrazione al PLC del reparto stampaggio. Usiamo tool di discovery passivi che non disturbano la produzione. In media troviamo il 30% di dispositivi in piu rispetto a quelli noti al responsabile IT.
2. Segmentazione di rete (il passo piu importante)
Separiamo fisicamente e logicamente la rete IT dalla rete OT. VLAN dedicate, firewall industriali che capiscono Modbus e OPC UA, DMZ industriale per i server che devono parlare con entrambi i mondi. Segui il modello Purdue a 5 livelli: e lo standard IEC 62443.
3. Monitoring continuo del traffico IT e OT
Installiamo sensori di rete che analizzano il traffico in tempo reale, sia lato IT che lato OT. Kaspersky KICS e la soluzione che usiamo: unica console che vede entrambi i mondi e rileva anomalie come un PLC che inizia a comunicare con un IP esterno.
4. Piano di incident response specifico per IT-OT
Un piano di risposta agli incidenti per l'IT non basta. Serve un piano specifico che consideri le particolarita dell'OT: non puoi spegnere un macchinario in funzione come spegni un server. Definiamo procedure di contenimento, isolamento e ripristino per entrambi gli ambienti.
5. Formazione congiunta IT e OT
Il team IT deve capire che non puo fare patch sui PLC come fa sui PC. Il team OT deve capire che collegare un PLC a internet senza protezione e un rischio enorme. Organizziamo sessioni di formazione congiunte dove i due team imparano a parlare la stessa lingua.
Segmentazione Pratica: il Modello Purdue e le VLAN
La segmentazione e il cuore di qualsiasi progetto di convergenza IT-OT sicura. Il modello di riferimento e il Purdue Model (ISA-95/IEC 62443), che divide la rete aziendale in 5 livelli + una DMZ industriale.
| Livello | Nome | Cosa ci sta | Protezione |
|---|---|---|---|
| 5 | Enterprise | Internet, email, VPN, cloud | Firewall perimetrale + EDR |
| 4 | Business IT | ERP, gestionale, file server | Firewall + segmentazione VLAN |
| 3.5 | DMZ Industriale | Historian, jump server, SIEM | Firewall industriale bidirezionale |
| 3 | Site Operations | SCADA server, HMI centrali | Firewall industriale + IDS OT |
| 2 | Area Control | HMI locali, workstation operatore | VLAN dedicata + whitelist |
| 1 | Basic Control | PLC, RTU, controller | Isolamento fisico + monitoring passivo |
| 0 | Process | Sensori, attuatori, valvole | Air-gap dove possibile |
La regola d'oro: il traffico puo scendere (da IT verso OT) solo attraverso la DMZ industriale. Non ci deve essere MAI una connessione diretta tra il livello 4 (ERP) e il livello 1 (PLC). Se il gestionale deve leggere i dati di produzione, passa dalla DMZ dove c'e un historian server che fa da intermediario.
Per implementare tutto questo servono firewall industriali che capiscano i protocolli OT (non basta un firewall da ufficio), switch managed per creare le VLAN, e un progetto di rete fatto come si deve.
Kaspersky KICS: una Console per Entrambi i Mondi
Uno dei problemi pratici della convergenza IT-OT e il monitoring. Il team IT ha i suoi strumenti (SIEM, EDR, antivirus). Il team OT spesso non ha niente, oppure ha tool separati che non parlano con quelli IT. Risultato: nessuno ha la visibilita completa.
Kaspersky Industrial CyberSecurity (KICS) risolve questo problema. E l'unica piattaforma che noi in BullTech abbiamo trovato capace di vedere entrambi i mondi da un'unica console:
- KICS for Networks: analizza il traffico OT in modo passivo (non disturba i macchinari), rileva anomalie, identifica vulnerabilita nei firmware dei PLC
- KICS for Nodes: protegge le workstation e i server OT (quelli che possono avere un agente installato) con antimalware leggero e application control
- Console unificata: il responsabile della sicurezza vede IT e OT nello stesso dashboard, con correlazione automatica degli eventi
La cosa che ci piace di KICS e che non richiede di toccare i macchinari. Il sensore di rete si collega a una porta mirror dello switch e ascolta il traffico in modo passivo. Nessun rischio di fermare la produzione durante l'installazione. Se vuoi approfondire come funziona la sicurezza IoT e OT, abbiamo una pagina dedicata con tutti i dettagli.
I Numeri della Convergenza IT-OT in Italia
Per dare un po' di contesto ai numeri che girano, ecco i dati piu recenti da fonti autorevoli:
1,04 miliardi di euro
Mercato Smart Factory in Italia nel 2025, +15% rispetto al 2024 (Osservatori PoliMI).
80% delle grandi aziende
Ha gia avviato progetti IIoT che richiedono convergenza IT-OT (Osservatori PoliMI).
25,7% degli attacchi globali
Ha colpito il settore manifatturiero nel 2024, settore piu attaccato per il quarto anno (IBM X-Force).
300.000+ euro/giorno
Costo medio di un fermo produzione per una PMI manifatturiera italiana (stima Confindustria).
La NIS2 e l'Obbligo di Proteggere Anche l'OT
Se i rischi di business non bastano a convincerti, c'e anche l'obbligo normativo. La direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, include esplicitamente il settore manifatturiero tra i "soggetti importanti". Questo significa che le aziende del settore devono proteggere TUTTI i sistemi informatici e di rete, compresi quelli OT.
Le sanzioni per chi non si adegua arrivano fino a 7 milioni di euro o l'1,4% del fatturato mondiale. La scadenza per la piena conformita e ottobre 2027, ma il percorso va iniziato adesso. Se vuoi saperne di piu, abbiamo scritto una guida completa sugli obblighi NIS2 per l'OT nel manifatturiero.
Come BullTech Ti Aiuta nella Convergenza IT-OT
In BullTech lavoriamo con aziende manifatturiere in Lombardia da oltre 15 anni. Abbiamo visto la transizione dall'OT completamente isolato alla convergenza totale, e abbiamo imparato (a volte sulla pelle dei clienti) che la fretta e il nemico numero uno.
Assessment IT-OT
Mappiamo ogni dispositivo connesso, identifichiamo i punti di contatto IT-OT e valutiamo il livello di rischio attuale. Report con priorita e costi.
Progettazione Segmentazione
Progettiamo la segmentazione secondo il modello Purdue: VLAN, DMZ industriale, firewall rules. Tutto senza fermare la produzione.
Installazione Kaspersky KICS
Deploy di KICS for Networks e Nodes: monitoring passivo del traffico OT, protezione endpoint, console unificata IT-OT.
Gestione Continuativa
Monitoriamo 24/7 con il nostro SOC. Gestiamo alert, aggiornamenti (quando possibile) e incident response per entrambi gli ambienti.
Il primo passo e sempre un assessment: capiamo dove sei e dove vuoi arrivare. Non servono investimenti enormi per iniziare. Spesso basta una segmentazione di base con i firewall gia presenti per ridurre drasticamente il rischio.
Domande Frequenti sulla Convergenza IT-OT
Cos'e la convergenza IT-OT?
L'80% delle grandi aziende manifatturiere italiane ha gia avviato progetti IIoT (fonte: Osservatori PoliMI 2025). La convergenza IT-OT e l'integrazione tra i sistemi informatici aziendali (IT: email, ERP, gestionale) e i sistemi operativi industriali (OT: PLC, SCADA, sensori, macchinari). In pratica, la rete dell'ufficio e la rete della produzione diventano un unico ambiente connesso per raccogliere dati, ottimizzare i processi e abilitare la manutenzione predittiva.
Quali sono i rischi principali della convergenza IT-OT?
Il 70% degli attacchi al settore manifatturiero nel 2024 ha sfruttato la connessione IT-OT (IBM X-Force). Un fermo produzione da ransomware costa in media 300.000 euro al giorno per una PMI manifatturiera. Il rischio concreto e che un attacco entrato dall'email di un impiegato si propaghi ai PLC e fermi i macchinari. Senza segmentazione di rete, bastano 20-25 minuti.
Quanto costa mettere in sicurezza la convergenza IT-OT?
Per una PMI con 50-200 dipendenti, un progetto di segmentazione IT-OT costa tra 15.000 e 40.000 euro di investimento iniziale, piu 3.000-8.000 euro/anno di gestione. Include firewall industriali, VLAN dedicate, DMZ OT e monitoring con Kaspersky KICS. L'alternativa e un fermo produzione che costa 300.000+ euro al giorno.
Come si fa la segmentazione IT-OT in pratica?
La segmentazione segue il modello Purdue (IEC 62443) a 5 livelli + DMZ industriale. Servono VLAN dedicate per separare uffici e produzione, firewall industriali che capiscono i protocolli OT (Modbus, OPC UA), e un historian server nella DMZ che fa da intermediario. La regola: nessun traffico diretto da IT a OT. Per approfondire, leggi la nostra guida alle reti aziendali.
La NIS2 obbliga a proteggere anche i sistemi OT?
Si, con sanzioni fino a 7 milioni di euro o l'1,4% del fatturato mondiale. La NIS2 (D.Lgs. 138/2024) include il manifatturiero tra i "soggetti importanti" e richiede la protezione di TUTTI i sistemi informatici e di rete, compresi quelli OT. Scadenza piena conformita: ottobre 2027. Leggi la nostra guida completa sull'adeguamento NIS2.