Cyber attacchi, aumentano gli incidenti contro le imprese del comparto energetico

I numeri, in evoluzione, dei cyber attacchi al settore energetico hanno più di una ragione: il costante sviluppo della trasformazione digitale, la crescente sofisticazione dei criminal hacker (sempre più motivati finanziariamente), le localizzazioni geografiche disperse e la dipendenza da terze parti in rapporto ai fornitori e ai servizi pubblici.

Sicurezza informatica a rischio

Certo, l’aumento della connettività, insieme all’adozione del cloud e all’integrazione dell’IoT (l’Internet of Things, che permette ai dispositivi intelligenti di comunicare tra di loro e con ulteriori dispositivi abilitati in rete) restituiscono una serie di benefici al comparto: dal miglioramento dei consumi e dell’automatizzazione della gestione energetica all’incremento della sostenibilità ad una maggiore prevenzione di malfunzionamenti e interruzioni. Ma, inevitabilmente, anche più rischi di sicurezza.

Gli stessi attacchi ransomware (software dannosi che impediscono l’accesso a file oppure al sistema di un dispositivo, chiedendo il pagamento di un riscatto per ripristinarne l’accesso) sono divenuti sempre più diffusi, con attori malevoli che richiedono corposi pagamenti per sbloccare i sistemi critici colpiti. Gli stessi criminal hacker impiegano tecniche sempre più avanzate per attaccare, facendo leva in particolare sulle potenzialità dell’intelligenza artificiale e del machine learning.

Come spiega in un articolo il MIT Technology Review, periodico bimestrale del Massachusetts Institute of Technology, gli attacchi informatici basati sull’IA possono essere suddivisi in alcune tipologie principali. Tra queste c’è il “Jailbreak a ripetizione”, descritto così in uno studio condotto dal laboratorio di intelligenza artificiale Anthropic: un attacco informatico che induce un Large Language Model (LLM), la tecnologia IA avanzata volta alla comprensione e all’analisi testuale, a violare le proprie policy di sicurezza interne.

Cyber attacchi in crescita: la fotografia di Clusit

A livello globale i fornitori di energia e di servizi pubblici devono confrontarsi anche con l’aumento delle superficie di attacco, legata alla sfida di proteggere asset sempre più distribuiti geograficamente.

Su questa scia, secondo il Rapporto Clusit Energy & Utilities 2025, il settore dell’energia e delle utilities sta attraversando un’escalation di incidenti informatici: nel primo trimestre dell’anno si è registrato un incremento del 40% rispetto al 2023, e le proiezioni indicano un ulteriore aumento del 21% entro l’ultimo giorno di dicembre.

Secondo gli esperti dell’Associazione italiana per la sicurezza informatica, nel primo trimestre del 2025 si è assistito ad un cambiamento nelle mire degli attaccanti: se fino al 2024 anche in ambito Energy&Utilities gli incidenti occorsi venivano ricondotti soprattutto a finalità di cyber crime, ovvero per estorcere denaro, nei primi tre mesi dell’anno il 58% degli incidenti sono stati indotti da attività di hacktivism (penetrare in un sistema informatico per obiettivi politici o sociali). Il cyber crime? È passato in secondo piano, costituendo il 37% degli incidenti, seguito da un 5% riconducibile ad attività di spionaggio e sabotaggio.

Pannelli solari esposti ai cyber attacchi

La sicurezza dei dispositivi per sistemi solari passa anche da test di cyber security come quello condotto da Wietse Boonstra e Hidde Smit, due ethical hacker olandesi del Divd (Dutch institute of vulnerability disclosure), l’Istituto olandese per la divulgazione delle vulnerabilità.

La coppia di ricercatori è riuscita ad accedere ai sistemi informatici degli inverter “intelligenti” del produttore americano Enphase (con il quale hanno collaborato), scoprendo e divulgando sei nuove vulnerabilità nei dispositivi Enphase IQ Gateway, precedentemente conosciuti come Enphase Envoy. Tali dispositivi elettronici permettono la comunicazione tra i microinverter dei pannelli solari sul tetto con il software di tracciamento Enphase basato su cloud.

Oltre 4 milioni di device distribuiti in 150 Paesi sono stati esposti a cyber attacchi: la combinazione di tre delle sei vulnerabilità ha permesso ai potenziali attaccanti di assumere il completo possesso del gateway Enphase IQ e dei dispositivi collegati. Le criticità rilevate dalla coppia di ricercatori sono state segnalate a Enphase, che ha subito mostrato l’intenzione di collaborare per risolverle (come poi è avvenuto).

È possibile provocare un blackout di rete?

Dall’Olanda alla Grecia, dove Vangelis Stykas, esperto greco di cyber security e cofondatore della società Atropos.ai, ha dimostrato quanto sia facile per un criminal hacker compromettere i pannelli solari collegati alla rete. Utilizzando esclusivamente uno smartphone e un laptop dalla sua abitazione di Salonicco, l’esperto è riuscito a violare i firewall (sistemi di sicurezza della rete informatica che circoscrivono il traffico internet in entrata, in uscita o presso una rete privata) in più parti del mondo.

In questo modo Stykas ha acquisito un controllo tale da poter potenzialmente provocare blackout di rete su vasta scala. La criticità non è da sottovalutare, considerando che, stando alle stime dell’Agenzia internazionale dell’energia (IEA), entro il 2030 ben 100 milioni di famiglie nel globo dipenderanno da pannelli che sfruttano l’energia solare per il proprio fabbisogno energetico. In particolare, ammonisce Stykas, “la rete tedesca, che è una delle più avanzate, potrebbe essere vulnerabile a un cyber attacco mirato che sfrutta tali connessioni”.

Non solo l’Olanda e la Grecia. Il Global Cyber Attack Report di Check Point sottolinea un importante incremento dei cyber attacchi in Germania, pari al 55%; un aumento maggiore rispetto a quello mondiale (47%). Così la presidente dell’Ufficio federale per la sicurezza informatica (BSI), Claudia Plattner, ha ammonito circa l’escalation degli attacchi informatici contro le infrastrutture energetiche del Paese. Precisando che “le superfici di attacco per i criminal hacker stanno aumentando”.

L’impatto della Direttiva NIS2

La Direttiva UE 2022/2555 meglio nota come NIS2 (Network and Information Security Directive 2), recepita in Italia con il Decreto Legislativo n. 138 del 4 settembre 2024 ed entrata in vigore lo scorso 16 ottobre, mira a rinsaldare la sicurezza informatica e la resilienza delle reti e dei sistemi informatici. Sono stati introdotti obblighi stringenti per le organizzazioni rilevanti attive nel macro settore energia; un comparto al cui interno, secondo la classificazione della NIS2, vengono inclusi cinque sotto-settori:

• energia elettrica;
• teleriscaldamento e teleraffrescamento,
• petrolio,
• gas,
• idrogeno.

La nuova Direttiva in materia di cyber security introduce una serie di novità rispetto alla NIS1, introdotta nel 2016 per rinsaldare la protezione dei sistemi critici negli stati membri dell’Unione Europea. Tra le più significative ci sono:

• requisiti più rigidi (la Direttiva prescrive l’implementazione sia di standard minimi di sicurezza come previsto dalla NIS1 e dal GDPR, il Regolamento generale sulla protezione dei dati, sia di misure di sicurezza e preventive più elevate),
• estensione del perimetro (la NIS2 amplia la sua applicazione a un numero più elevato di operatori e comparto, tra cui anche le PMI attive nel settore energetico).

E ancora: più impatto sui processi aziendali (la tutela dei sistemi informatici e dei dati di un’organizzazione viene attuata definendo procedure ben definite in materia di controllo) e maggiori vincoli di reporting (un ruolo determinante nei processi di cyber security è quello del personale, che deve sapere quali procedure applicare nel caso di attacco informatico).

Nessuna esagerazione. L’Agenzia dell’UE per la cybersicurezza (ENISA) ribadisce che “il settore energetico è una componente imprescindibile dell’economia europea ed è diventato un obiettivo primario per le minacce informatiche nel contesto della tensione geopolitica in corso”. La stessa Agenzia, nel report “Enisa Threat Landscape report (ETL)” di marzo 2025, documenta un aumento del 35 per cento dei cyber attacchi alla rete energetica globale.

Per attenuare i rischi individuati, le raccomandazioni che gli Stati membri sono chiamati a recepire includono:

• la condivisione di best practice di materia di mitigazione dei ransomware,
• il miglioramento della presa di coscienza collettiva della situazione informatica e la condivisione delle informazioni,
• l’ottimizzazione della gestione delle crisi e della difesa della catena di approvvigionamento.