Telecamere IP, stampanti smart, sensori ambientali, sistemi HVAC, controlli accessi, dispositivi di building automation: l'Internet of Things ha invaso le aziende italiane, ma la sicurezza di questi dispositivi è spesso completamente trascurata. Ogni dispositivo IoT non protetto è una porta aperta sulla rete aziendale. Questa guida analizza i rischi concreti, gli attacchi reali e le 6 misure essenziali per proteggere l'IoT in azienda.
Indice dei Contenuti
- 1. L'Esplosione dell'IoT in Azienda
- 2. I 5 Rischi Principali dell'IoT Aziendale
- 3. Attacchi Reali: Quando l'IoT Diventa il Vettore
- 4. Come Proteggere l'IoT Aziendale: 6 Misure
- 5. IoT e OT: Convergenza nel Manifatturiero
- 6. NIS2 e IoT: Obblighi per le Aziende
- 7. Best Practice per Settore
- 8. Domande Frequenti
L'Esplosione dell'IoT in Azienda
Secondo le stime di IoT Analytics, nel 2026 ci sono oltre 18 miliardi di dispositivi IoT connessi a livello globale. In un'azienda italiana media con 30-50 dipendenti, il numero di dispositivi IoT connessi alla rete è tipicamente 3-5 volte superiore al numero di PC e server. Il problema? La maggior parte di questi dispositivi non è gestita dall'IT.
Dispositivi IoT comuni in azienda
Questi dispositivi sono spesso invisibili all'IT: installati da fornitori esterni (impianti elettrici, videosorveglianza, climatizzazione), collegati alla rete aziendale senza alcuna valutazione di sicurezza, e poi dimenticati. Nessun aggiornamento firmware, nessuna modifica delle credenziali di fabbrica, nessun monitoraggio del traffico generato. È un invito a nozze per i cybercriminali.
I 5 Rischi Principali dell'IoT Aziendale
1. Firmware Vulnerabile e Non Aggiornato
La maggior parte dei dispositivi IoT viene venduta con firmware che contiene vulnerabilità note. I produttori rilasciano aggiornamenti sporadicamente, se li rilasciano. Molti dispositivi raggiungono rapidamente il fine vita (EOL) senza più ricevere patch di sicurezza. Un’analisi del 2025 ha rilevato che il 72% delle telecamere IP in uso nelle PMI italiane ha firmware con CVE note non corrette, alcune vecchie di 3+ anni.
2. Credenziali di Fabbrica Mai Cambiate
Admin/admin, admin/password, root/root: le credenziali di default dei dispositivi IoT sono pubblicamente note e catalogate in database come default-password.info. Il 56% dei dispositivi IoT aziendali utilizza ancora le credenziali di fabbrica. I bot automatizzati scansionano continuamente internet cercando dispositivi con credenziali default, e li compromettono in pochi secondi.
3. Assenza di Crittografia nelle Comunicazioni
Molti dispositivi IoT trasmettono dati in chiaro (HTTP, Telnet, FTP) senza alcuna crittografia. Le telecamere IP possono trasmettere il flusso video senza encryption, le stampanti inviano i documenti in chiaro sulla rete, i sensori comunicano con protocolli proprietari non cifrati. Un attaccante sulla stessa rete può intercettare e manipolare queste comunicazioni con un semplice sniffer.
4. Impossibilità o Difficoltà di Aggiornamento
A differenza di PC e server, molti dispositivi IoT non supportano aggiornamenti automatici. L’aggiornamento firmware richiede spesso procedure manuali complesse, con il rischio di “brickare” il dispositivo in caso di errore. Alcuni dispositivi più economici non hanno proprio un meccanismo di aggiornamento. Il risultato: dispositivi con vulnerabilità note restano in rete per anni.
5. Esposizione sulla Rete Aziendale
La maggior parte dei dispositivi IoT è collegata alla stessa rete di PC, server e dati aziendali, senza alcuna segmentazione. Un dispositivo IoT compromesso diventa un punto d’ingresso per muoversi lateralmente nella rete e raggiungere i sistemi critici. Inoltre, molti dispositivi vengono esposti direttamente su internet (port forwarding) per l’accesso remoto, senza VPN o protezioni adeguate.
Attacchi Reali: Quando l'IoT Diventa il Vettore di Attacco
Gli attacchi attraverso dispositivi IoT non sono scenari teorici: sono realtà documentate che hanno causato danni milionari. Ecco i casi più significativi che ogni azienda dovrebbe conoscere.
Mirai Botnet: 600.000 dispositivi IoT compromessi
Nel 2016, la botnet Mirai ha compromesso oltre 600.000 dispositivi IoT (telecamere IP, DVR, router) sfruttando credenziali di fabbrica non cambiate. L'attacco DDoS risultante ha messo offline Twitter, Netflix, Reddit, GitHub e decine di altri servizi per ore. Le varianti di Mirai sono ancora attive nel 2026 e continuano a reclutare dispositivi IoT con credenziali default. L'evoluzione più recente, InfectedSlurs, ha preso di mira specificamente NVR e router di piccole aziende.
L'attacco via stampante: il caso della catena alberghiera
Nel 2024, un gruppo di cybercriminali ha compromesso una catena alberghiera europea entrando dalla rete attraverso una stampante multifunzione con firmware non aggiornato e credenziali di fabbrica. Dalla stampante, hanno eseguito un lateral movement fino ai server di prenotazione, esfiltrando i dati di 300.000 ospiti inclusi numeri di carta di credito. Il costo totale dell'incidente: oltre €2 milioni tra sanzioni GDPR, risarcimenti e costi di ripristino.
HVAC come vettore: il precedente Target
Il famoso data breach di Target (2013, 40 milioni di carte di credito rubate) è iniziato dalla compromissione del fornitore dei sistemi HVAC, che aveva accesso alla rete del retailer per il monitoraggio remoto della climatizzazione. I criminali hanno sfruttato le credenziali VPN del fornitore HVAC per entrare nella rete, muoversi lateralmente fino ai POS e installare malware per il furto dei dati delle carte. Questo caso dimostra come i sistemi di building automation possano essere un vettore di attacco critico se non adeguatamente segmentati.
Quanti Dispositivi IoT Non Protetti Hai in Rete?
La maggior parte delle aziende sottostima del 30-40% il numero di dispositivi connessi. Richiedi un audit IoT gratuito della tua rete aziendale.
Richiedi Audit IoT GratuitoCome Proteggere l'IoT Aziendale: 6 Misure Essenziali
Proteggere i dispositivi IoT richiede un approccio strutturato che combina segmentazione di rete, gestione degli asset e monitoraggio continuo. Ecco le 6 misure che ogni azienda deve implementare.
Segmentazione di Rete con VLAN Dedicate
CRITICOCrea VLAN separate per i dispositivi IoT: una per le telecamere, una per le stampanti, una per i sistemi HVAC/building automation. Configura regole firewall inter-VLAN che permettano solo il traffico strettamente necessario. I dispositivi IoT non devono mai poter comunicare direttamente con i server aziendali o le workstation. Questo è il singolo intervento più efficace contro il lateral movement.
Inventario Completo dei Dispositivi
CRITICONon puoi proteggere ciò che non sai di avere. Esegui un discovery di rete completo per identificare tutti i dispositivi connessi. Documenta: tipo, produttore, modello, versione firmware, indirizzo IP/MAC, responsabile, data installazione. Aggiorna l’inventario automaticamente con strumenti di network monitoring. Il 40% dei dispositivi IoT scoperti durante un audit è sconosciuto all’IT.
Cambio di Tutte le Credenziali Default
CRITICOCambia username e password di fabbrica su OGNI dispositivo IoT. Usa password complesse e uniche per ciascun dispositivo. Disabilita gli account di default dove possibile. Disabilita protocolli non sicuri (Telnet, FTP, HTTP) e abilita quelli cifrati (SSH, SFTP, HTTPS). Questa singola azione blocca la stragrande maggioranza degli attacchi automatizzati.
Policy di Aggiornamento Firmware
ALTODefinisci una policy di aggiornamento firmware per tutti i dispositivi IoT: verifica mensile di nuovi firmware disponibili, test dell’aggiornamento su un dispositivo prima del rollout, pianificazione degli aggiornamenti in finestre di manutenzione. Per i dispositivi che non ricevono più aggiornamenti (EOL), pianifica la sostituzione o implementa controlli compensativi aggiuntivi (isolamento, monitoraggio intensivo).
Monitoraggio del Traffico IoT Anomalo
ALTOImplementa il monitoraggio del traffico generato dai dispositivi IoT. Una telecamera IP che improvvisamente genera traffico verso IP in Cina è un segnale chiaro di compromissione. Configura alert per: traffico verso destinazioni insolite, volumi anomali, tentativi di comunicazione con la rete aziendale, scansioni di porte. Il monitoraggio proattivo di BullTech include la detection automatica di anomalie nel traffico IoT.
NAC (Network Access Control)
MEDIOImplementa una soluzione NAC per controllare quali dispositivi possono connettersi alla rete e a quali risorse possono accedere. Il NAC autentica ogni dispositivo prima di concedere l’accesso, assegna automaticamente la VLAN corretta in base al tipo di dispositivo, e blocca i dispositivi non autorizzati. Questo previene l’inserimento di dispositivi rogue nella rete aziendale (es. un Raspberry Pi nascosto dietro una scrivania).
BullTech implementa tutte queste misure come parte dei servizi di reti aziendali, Wi-Fi aziendale e monitoraggio proattivo. La segmentazione IoT è inclusa nella progettazione di ogni infrastruttura di rete che realizziamo.
IoT e OT: la Convergenza nel Manifatturiero
Nel settore manifatturiero, la convergenza tra IT (Information Technology) e OT (Operational Technology) è una delle sfide di sicurezza più critiche. I sistemi OT — PLC (Programmable Logic Controller), SCADA, HMI (Human-Machine Interface), sensori industriali — sono stati storicamente isolati dalla rete IT. Oggi, la spinta verso l'Industry 4.0 li ha connessi alla rete aziendale e, in molti casi, a internet.
Le differenze fondamentali tra IT e OT rendono la sicurezza particolarmente complessa:
- Priorità diverse – nell'IT la priorità è la confidenzialità dei dati, nell'OT è la disponibilità e la safety (sicurezza fisica). Un aggiornamento che ferma la produzione può costare decine di migliaia di euro all'ora
- Cicli di vita diversi – un PC ha una vita di 3-5 anni, un PLC può restare in produzione per 15-20 anni, con firmware che non riceve più aggiornamenti da oltre un decennio
- Protocolli diversi – l'OT utilizza protocolli specifici (Modbus, OPC-UA, PROFINET, EtherNet/IP) spesso senza autenticazione né crittografia, progettati per l'affidabilità, non per la sicurezza
- Testing limitato – non si può "testare" una patch su una linea di produzione come si fa con un server di staging. Il rischio di fermo produzione limita drasticamente le finestre di manutenzione
La soluzione è una DMZ industriale: un segmento di rete intermedio tra IT e OT che controlla rigorosamente ogni comunicazione tra i due mondi. Per il settore manifatturiero, BullTech offre soluzioni specifiche descritte nella nostra pagina soluzioni per il manifatturiero.
NIS2 e IoT: gli Obblighi per le Aziende
La direttiva NIS2, in fase di piena implementazione nel 2026, ha implicazioni dirette sulla sicurezza IoT aziendale. Le aziende classificate come soggetti essenziali o importanti devono implementare misure di sicurezza che coprono esplicitamente i dispositivi IoT.
Obblighi NIS2 per l'IoT
- • Inventario completo degli asset (inclusi IoT)
- • Gestione vulnerabilità e aggiornamenti firmware
- • Segmentazione e sicurezza della rete
- • Monitoraggio e rilevamento incidenti
- • Sicurezza della supply chain IoT
EU Cyber Resilience Act (CRA)
- • Requisiti di sicurezza per i produttori IoT
- • Obbligo di aggiornamenti di sicurezza
- • Certificazione CE per la cybersecurity
- • Responsabilità dei produttori per le vulnerabilità
- • In vigore gradualmente dal 2026-2027
L'Unione Europea sta regolamentando la sicurezza IoT sia dal lato utente (NIS2) che dal lato produttore (Cyber Resilience Act). Le aziende che non adeguano la propria infrastruttura IoT rischiano sanzioni significative e, soprattutto, restano esposte a rischi concreti.
Best Practice IoT per Settore
Manifatturiero / Industry 4.0
DMZ industriale tra rete IT e OT, monitoraggio passivo dei protocolli industriali (Modbus, OPC-UA), accesso remoto ai PLC solo tramite jump server dedicato, segmentazione per linea di produzione, backup delle configurazioni PLC, security assessment OT specifico almeno annualmente.
Retail e Negozi
Segmentazione POS su rete dedicata separata da Wi-Fi clienti e sistemi IoT, protezione dei lettori di carte di credito (PCI-DSS), telecamere su VLAN isolata, digital signage su rete separata, policy di aggiornamento per i dispositivi in negozio gestita centralmente.
Sanità
Dispositivi medicali IoT su rete ultra-segmentata con regole firewall stringenti, conformità MDR per i dispositivi medici connessi, monitoraggio real-time del traffico dei dispositivi medicali, policy di accesso zero-trust per ogni dispositivo, coordinamento con i fornitori per gli aggiornamenti di sicurezza.
Uffici e Servizi
VLAN dedicate per stampanti, telefoni VoIP e sistemi di building automation, NAC per impedire l’accesso a dispositivi non autorizzati, policy di cambio credenziali per tutti i dispositivi connessi, monitoraggio proattivo del traffico IoT, Wi-Fi guest completamente isolato dalla rete aziendale.
Domande Frequenti sulla Sicurezza IoT
Quali sono i dispositivi IoT più vulnerabili in azienda?
I dispositivi più a rischio sono quelli spesso trascurati dall’IT: telecamere IP (spesso con firmware obsoleto e credenziali di fabbrica), stampanti di rete (con hard disk interni che memorizzano i documenti stampati), sistemi di building automation (HVAC, controllo accessi, illuminazione smart), sensori industriali e PLC nel manifatturiero, e dispositivi consumer portati dai dipendenti (smart speaker, router personali). La loro pericolosità sta nel fatto che sono connessi alla rete aziendale ma raramente inclusi nelle policy di sicurezza e nelle scansioni di vulnerabilità.
Come faccio a sapere quanti dispositivi IoT ho in rete?
La maggior parte delle aziende sottostima il numero di dispositivi IoT connessi del 30-40%. Per fare un inventario accurato serve un tool di network discovery che scansioni tutti i segmenti di rete e identifichi ogni dispositivo collegato. Strumenti come Nmap, Lansweeper o le funzionalità di network discovery integrate nei firewall WatchGuard possono mappare ogni device. Il monitoraggio proattivo di BullTech include la scoperta e classificazione automatica di tutti i dispositivi connessi alla rete aziendale, con alert per dispositivi non autorizzati.
La segmentazione di rete è davvero necessaria per l’IoT?
Assolutamente sì, ed è la misura di sicurezza più importante per l’IoT aziendale. Senza segmentazione, un dispositivo IoT compromesso (es. una telecamera hackerata) ha accesso diretto a tutta la rete aziendale: server, PC, dati sensibili. Con la segmentazione tramite VLAN dedicate, i dispositivi IoT sono isolati su un segmento di rete separato con regole firewall che limitano rigidamente le comunicazioni consentite. Anche se un dispositivo IoT viene compromesso, l’attaccante non può raggiungere i sistemi critici.
I dispositivi IoT rientrano negli obblighi NIS2?
Sì, indirettamente. La NIS2 richiede alle aziende soggette di implementare misure di sicurezza che coprono l’intera infrastruttura IT, compresi i dispositivi IoT connessi alla rete. In particolare, la NIS2 richiede: gestione degli asset (inventario completo inclusi IoT), gestione delle vulnerabilità (aggiornamento firmware IoT), sicurezza della rete (segmentazione IoT), e gestione della supply chain (sicurezza dei fornitori di dispositivi IoT). Le aziende che ignorano la sicurezza IoT rischiano di non essere conformi alla NIS2.
Quanto costa mettere in sicurezza l’IoT aziendale?
Il costo dipende dalla dimensione della rete e dal numero di dispositivi. Per una PMI tipica (20-50 dipendenti, 50-200 dispositivi IoT), l’investimento include: segmentazione rete con VLAN (inclusa nella configurazione firewall, €500-2.000 una tantum), soluzione NAC (Network Access Control, €2.000-5.000/anno), monitoraggio traffico IoT (€200-500/mese come parte del monitoraggio proattivo), e aggiornamenti firmware periodici (inclusi nella gestione IT). Totale indicativo: €5.000-12.000/anno. Confrontalo con il costo di un breach tramite un dispositivo IoT compromesso: €50.000-200.000.
Come proteggo i dispositivi IoT industriali (OT)?
La protezione dei dispositivi OT (Operational Technology) nel manifatturiero richiede un approccio specifico perché questi sistemi spesso non possono essere aggiornati o riavviati senza fermare la produzione. Le misure chiave sono: segmentazione rigorosa tra rete IT e rete OT (DMZ industriale), monitoraggio passivo del traffico OT (senza interferire con i protocolli industriali come Modbus, OPC-UA), firewall specifici per ambienti industriali, accesso remoto sicuro tramite jump server dedicati, e policy di accesso fisico ai sistemi di controllo. BullTech offre soluzioni specifiche per il settore manifatturiero nella nostra pagina dedicata.
L'IoT è una realtà inevitabile in ogni azienda moderna. La chiave non è evitare i dispositivi connessi, ma gestirli con la stessa attenzione che si dedica a server e workstation. Contattaci per un audit completo della sicurezza IoT della tua rete aziendale e scopri come BullTech può proteggere ogni dispositivo connesso della tua infrastruttura.