UTILITALIA: la cybersecurity non è più tecnologia, è una responsabilità strategica per il Paese

Il mondo delle utility sta entrando in una fase delicata: l’aumento esponenziale degli attacchi informatici, l’interconnessione crescente dei sistemi industriali e la trasformazione digitale stanno ridisegnando le priorità del settore.

È quanto emerso in occasione del convegno “Cybersecurity, la nuova sfida delle utility”, organizzato da Utilitalia con il patrocinio del Ministero dell’Ambiente e della Sicurezza Energetica (MASE) e il coinvolgimento della Agenzia per la Cybersicurezza Nazionale (ACN).

Cybersecurity: la nuova sfida delle utility

Il keynote di Luca Dal Fabbro, Presidente Utilitalia, ha aperto i lavori con una fotografia nitida della situazione. Gli attacchi informatici sono in costante crescita: +27,4% nel mondo nel 2024, +15,2% in Italia e un ulteriore +13% nel primo semestre 2025, pari all’intero incremento dell’anno precedente.

Secondo Dal Fabbro, “gli impianti delle utility sono super connessi e, proprio per questo, vulnerabili”. Una considerazione che, nel caso del settore idrico, assume rilievo critico: basta alterare parametri come il dosaggio del cloro o la gestione di valvole e filtri per interrompere o compromettere l’erogazione di un servizio essenziale.

Non sorprende, quindi, che l’80% degli attacchi registrati in Italia sia classificato come grave o critico.

Le utility italiane stanno reagendo: 670 milioni investiti nel 2024, pari allo 0,4% del fatturato di settore, con una previsione di ulteriore crescita nel 2025. Ma la vulnerabilità principale riguarda la rete dei fornitori e le piccole utility locali, spesso prive di competenze e strumenti adeguati.

Da qui l’appello del Presidente di Utilitalia: creare “ecosistemi di fornitura cyber security proof”, capaci di garantire standard minimi di sicurezza lungo tutta la filiera, dalle grandi multiutility alle realtà provinciali dell’acqua e del gas.

Il contesto cyber e riflessi sulla corporate governance

La prospettiva tecnologica è stata affidata all’ingegnere Giuseppe D’Agostino, Partner PwC Italia, Cybersecurity & Resilience, che ha illustrato l’evoluzione delle minacce in un settore sempre più digitalizzato.

Le criticità principali sono la convergenza tra IOT e Operational Technology, con sistemi industriali spesso obsoleti, la carenza strutturale di personale specializzato e la moltiplicazione degli attacchi di social engineering grazie ai deepfake.

Secondo D’Agostino, “la sfida non è solo tecnologica, ma culturale: serve consapevolezza del rischio e governance chiara”.

Mentre, le implicazioni giuridiche e organizzative sono state approfondite dall’avvocato Andrea Lensi, Partner PwC Italia, NewLaw, Corporate & Compliance. Con l’arrivo della direttiva NIS2, la cybersecurity diventa parte integrante della corporate governance.

Le principali ricadute sono la responsabilità diretta dei Consigli di amministrazione, l’obbligo di formazione e aggiornamento costante del board e la verifica degli assetti organizzativi da parte degli organi di controllo.

Lensi ha riassunto così il cambio di paradigma: “La cybersecurity non è più un tema tecnico: è una responsabilità strategica dell’impresa e del suo vertice”.

Le istituzioni: tra sicurezza nazionale e tutela dei servizi essenziali

La sessione istituzionale ha visto gli interventi del Ministro dell’ambiente e della sicurezza energetica Gilberto Pichetto Fratin e del Prefetto Bruno Frattasi, Direttore Generale Agenzia per la cybersicurezza nazionale.

Il Ministro ha richiamato l’urgenza di “rafforzare la sicurezza nei servizi idrici, dove il numero elevato di gestori e la disomogeneità territoriale rappresentano un punto debole”. Fondamentale, secondo il Ministro, investire sulla formazione del personale operativo: “non basta parlare di cyber: servono tecnici preparati alla reazione immediata”.

Il Prefetto Frattasi, invece, ha ricordato la missione di ACN: monitoraggio costante, alert sulle vulnerabilità, supporto operativo e raccordo con la difesa per le crisi su larga scala. Ha sottolineato l’importanza della resilienza sistemica.

“Una vulnerabilità nella catena di fornitura può compromettere l’intero ecosistema”.

Le tecnologie al servizio della cyber sicurezza: l’intervento di Leonardo

La seconda parte del convegno si è concentrata sulle soluzioni tecnologiche che possono rafforzare la resilienza delle utility italiane. Alessandro Massa, Direttore Tecnico della divisione Cyber & Security Solutions di Leonardo, ha evidenziato come il settore energia–utility sia ormai uno dei bersagli principali delle minacce informatiche.

Secondo i dati raccolti dal centro di cyber intelligence dell’azienda, gli attacchi “state-sponsored” collocano il comparto al terzo posto in Europa tra i più colpiti, mentre le offensive ransomware – mirate a bloccare i sistemi gestionali cifrando dati sensibili – lo posizionano al 12° posto, con un aumento tanto rapido quanto preoccupante.

Il trend più critico riguarda però il settore idrico, che – ha spiegato Massa – sta diventando uno dei target preferiti non solo dei criminali informatici, ma anche degli attori geopolitici. Il 2025, secondo le prime proiezioni, sarà caratterizzato da attacchi più complessi, frutto dell’alleanza operativa tra gruppi criminali e gruppi sponsorizzati da Stati, capaci di fondere competenze e strumenti in operazioni con un impatto potenzialmente sistemico.

Tavola rotonda 1: le istituzioni e le norme per la cyber sicurezza

La prima tavola rotonda ha affrontato la sfida della Direttiva NIS2, che impone standard elevati di sicurezza a tutta l’infrastruttura dei soggetti essenziali e importanti.

A introdurre il tema è stata Milena Rizzi, Capo Servizio Regolazione di ACN, che ha ricordato che la NIS2 estende gli obblighi non più alla sola porzione di infrastruttura rilevante per l’erogazione del servizio, ma all’intero sistema tecnologico dell’azienda. Da qui nasce la maggiore complessità e la necessità di un modello “a fasi” che permetta alle utility di adeguarsi gradualmente, senza caricare i gestori di costi eccessivi.

Rizzi ha ricordato come l’Italia, tra i primi Paesi ad aver recepito la NIS2, stia diventando un punto di riferimento in Europa grazie al lavoro congiunto tra ACN, ministeri e associazioni di settore. In questo quadro, resta cruciale il tema della supply chain, oggi uno dei principali fattori di vulnerabilità.

Il Generale Massimiliano Conti, Vice Capo di Gabinetto del MASE, ha ricordato l’estrema eterogeneità del sistema: oltre 2.500 soggetti essenziali nel settore energetico e 120 gestori industriali nel servizio idrico integrato. Molti di questi presentano fragilità organizzative e tecnologiche che richiedono un forte supporto istituzionale.

“Gli investimenti necessari nel settore idrico, tra acqua potabile e reflui, sono stimati in oltre 6 miliardi di euro, a cui si aggiungono le risorse previste dalla nuova direttiva europea sulle acque reflue urbane”, ha dichiarato.

Alla necessità di consolidare un sistema coordinato si è collegato anche il Generale Alfredo Ramponi, Esperto di Intelligence, che ha sottolineato come il Paese debba puntare con decisione sul partenariato pubblico-privato. La difesa delle infrastrutture critiche, ha spiegato, richiede una strategia di lungo periodo che coinvolga forze armate, ACN, polizia postale e intelligence in un ecosistema realmente integrato.

Ha chiuso la sessione l’intervento dell’avvocato Andrea San Mauro, Professore Associato di Diritto dell’Economia, Università degli Studi di Roma Sapienza.

“La frammentazione costituzionale rende complessa la protezione di asset essenziali come acqua ed energia”.

Per questo ha proposto la creazione di un centro unico per la raccolta e analisi dei dati sugli attacchi, capace di distinguere quelli mossi da finalità economiche – come i ransomware – da quelli politici o geopolitici. Uno strumento che permetterebbe al Paese di definire risposte più mirate ed efficaci.

Tavola rotonda 2: capitale umano e competenze, la nuova frontiera della cybersicurezza

Il secondo panel ha posto al centro una delle questioni più delicate per il futuro delle utility: la disponibilità di competenze specializzate in ambito cyber. Le tecnologie evolvono rapidamente, le minacce aumentano e i sistemi diventano più complessi. Ma senza capitale umano adeguato, nessuna infrastruttura può dirsi davvero resiliente.

A inaugurare la discussione è stata Paola Girdinio, Presidente del Centro di Competenza Start 4.0 e Professoressa ordinaria all’Università di Genova, che ha sottolineato come il Paese viva un momento decisivo. Da anni lavora sulla protezione delle infrastrutture IOT e ha ricordato che l'università italiana sta potenziando in modo significativo la propria offerta formativa, con percorsi dedicati alla sicurezza dei sistemi energetici e alle infrastrutture critiche.

Tra i progetti più rilevanti ha citato l’avvio di un nuovo corso magistrale di Cyber Security per i sistemi energetici, pensato per unire competenze ingegneristiche, digitali e di sicurezza.

La professoressa ha insistito sulla necessità di “formare non solo nuovi professionisti, ma anche chi già lavora nelle aziende”, perché il gap non riguarda solo il mercato, ma anche l’aggiornamento di competenze interne. La formazione continua, ha spiegato, è l’unica risposta credibile in un contesto dove la trasformazione digitale avanza più velocemente della capacità di adeguamento delle organizzazioni.

Il tema è stato approfondito da Ettore Francesco Bompard, Professore Ordinario Dipartimento Energia, Politecnico di Torino, che ha richiamato l’attenzione sull’aumento degli investimenti in digitalizzazione delle infrastrutture energetiche - circa 780 milioni di euro nel 2024, contro i 580 milioni del 2023 - una crescita che rende ancora più urgente la disponibilità di figure capaci di riconoscere, prevenire e contenere i rischi cyber.

Bompard ha ricordato che in Europa mancano circa 300.000 professionisti della cybersicurezza, mentre “il 76% di chi oggi ricopre ruoli legati alla sicurezza informatica non possiede una qualifica formale”. Una condizione che dimostra quanto la formazione sia diventata un fattore strategico, non solo tecnico.

Il professore ha insistito sulla necessità di figure multidisciplinari, capaci di comprendere allo stesso tempo le minacce cyber e il funzionamento fisico delle infrastrutture. Non servono “tuttologi”, ha spiegato, ma professionisti capaci di dialogare con diversi dipartimenti interni, superando la tradizionale separazione tra IOT e governance aziendale.

Dal mondo industriale è arrivato il punto di vista di Alessandro Manfredini, Direttore Group Security & Cyber Defence, A2A; Presidente AIPSA, che ha ricordato come la cybersicurezza sia diventata ormai una funzione centrale per le imprese che erogano servizi essenziali.

Per Manfredini, la skill più importante non è solo la capacità tecnica, ma la competenza nel governare la complessità, coordinando componenti tecnologiche, processi, fornitori e persone.

“Le aziende hanno bisogno di professionisti in grado di parlare una lingua comune e di guidare team multidisciplinari: ciò richiede investimenti non solo in tecnologie, ma soprattutto nelle risorse interne".

Conclusioni: una sfida nazionale che richiede un’alleanza stabile

La tavola rotonda si è chiusa con un messaggio condiviso dai relatori: la sfida della cybersicurezza non si vince da soli.

Università, utility, istituzioni, associazioni professionali e industria devono costruire un ecosistema stabile, basato su collaborazione, formazione continua e sviluppo di competenze specialistiche.

Solo così il Paese potrà affrontare minacce sempre più complesse e garantire la sicurezza di servizi essenziali per cittadini e imprese.