sicurezza ot portuale

Sicurezza OT portuale: rischi cyber e strategie di difesa per i porti del Mediterraneo

A cura di:Redazione Ore

La sicurezza OT portuale è diventata una delle priorità strategiche più urgenti per l’Europa meridionale. I porti del Mediterraneo – da Genova a Pireo, da Valencia a Marsiglia, da Tangeri a Haifa – rappresentano una quota significativa del traffico container dell’Unione Europea e costituiscono snodi nevralgici per le catene di approvvigionamento globali. Eppure, i sistemi di Operational Technology che governano gru a portale, terminal operating system, sensori ambientali e sistemi SCADA continuano a funzionare con architetture concepite in un’epoca in cui la parola “ransomware” non esisteva.

Il dato di contesto è inequivocabile. Secondo l’ENISA Threat Landscape 2025, il settore trasporti è stato il secondo più colpito nell’Unione Europea tra luglio 2024 e giugno 2025, con il 7,5% di tutti gli incidenti cyber registrati. La logistica portuale e marittima è esplicitamente indicata come area di interesse prioritario per gli attaccanti, subito dopo l’aviazione. E secondo il Maritime Cyber Attack Database (MCAD), gli incidenti nel comparto marittimo sono cresciuti del 150% nel quinquennio 2020-2025, con la compromissione dei sistemi OT identificata come la minaccia con il punteggio di rischio più elevato: 98 su 100.

La domanda non è più se un grande porto mediterraneo subirà un attacco significativo ai propri sistemi operativi, ma quando e con quali conseguenze. Questo articolo analizza la specificità del rischio OT nell’ecosistema portuale mediterraneo, valuta l’adeguatezza dei framework di protezione disponibili e propone una roadmap strategica per CISO, security architect e responsabili compliance che operano in questo settore.

L’ecosistema OT portuale: complessità e vulnerabilità strutturali

Per comprendere la reale esposizione al rischio, occorre partire dalla natura stessa dell’infrastruttura tecnologica di un porto moderno. Un terminal container di medie dimensioni gestisce tipicamente diverse centinaia di asset OT interconnessi: controllori logici programmabili (PLC) per le gru ship-to-shore, sistemi SCADA per il monitoraggio energetico e idraulico, sensori IoT per il tracking dei container, gate automation system per gli accessi dei mezzi pesanti e sistemi di ormeggio assistito.

La convergenza IT/OT rappresenta il primo e più significativo fattore di rischio. Laddove storicamente le reti industriali operavano in isolamento fisico (air-gapped), la spinta verso l’efficienza operativa ha progressivamente integrato i sistemi di campo con i livelli enterprise: ERP, sistemi doganali, piattaforme di vessel traffic management. Come evidenziato dal report Dryad Global sulle minacce cyber marittime 2025, una singola violazione in un’area può propagarsi a cascata attraverso l’intero porto, paralizzando potenzialmente le operazioni nella loro interezza.

Le criticità strutturali dell’OT portuale si possono articolare in quattro dimensioni:

  • Obsolescenza tecnologica. Molti sistemi di controllo industriale installati nei porti mediterranei risalgono agli anni Novanta o Duemila. PLC e RTU (Remote Terminal Unit) spesso eseguono firmware proprietari privi di meccanismi di autenticazione, cifratura o aggiornamento remoto sicuro. Le gru STS (ship-to-shore) prodotte dal costruttore cinese ZPMC – responsabile di circa il 70% delle gru ship-to-shore installate a livello mondiale – sono state oggetto di indagini specifiche da parte della U.S. Coast Guard per potenziali rischi di accesso remoto non autorizzato.
  • Assenza di segmentazione. La mancanza di separazione logica e fisica tra reti IT e OT permette agli attaccanti di utilizzare la rete aziendale come vettore di accesso ai sistemi di campo. Il modello di riferimento Purdue (ISA-95), che stratifica i livelli di rete dal campo all’enterprise, è spesso implementato solo parzialmente o non implementato affatto.
  • Superficie d’attacco estesa. L’ecosistema portuale include decine di soggetti terzi – compagnie di navigazione, operatori terminalistici, agenzie doganali, fornitori di manutenzione – ciascuno con i propri accessi VPN, credenziali e policy di sicurezza. La supply chain digitale portuale è, di fatto, una trust chain fragile e scarsamente governata.
  • Fattore umano. La formazione in cybersecurity del personale OT portuale rimane inadeguata. Operatori di gru, tecnici di manutenzione e supervisori di terminal raramente ricevono training specifico su phishing, social engineering o gestione delle credenziali. Questa lacuna rende il personale di campo il punto di ingresso più probabile per un attacco mirato.

Il panorama delle minacce: chi attacca i porti e come

Il profilo degli attaccanti che prendono di mira le infrastrutture portuali è eterogeneo e in rapida evoluzione. Il report ENISA 2025 distingue tre categorie principali.

Gruppi state-sponsored

Attori legati a Russia, Cina e Iran mostrano un interesse strategico crescente verso le infrastrutture marittime e logistiche europee. Gruppi come Volt Typhoon (attribuito alla Cina) sono stati identificati in attività di pre-posizionamento all’interno di reti OT portuali statunitensi, con l’obiettivo non immediato di sabotaggio ma di mantenere un accesso persistente da attivare in scenari di crisi geopolitica. Il CCDCOE della NATO ha pubblicato un policy brief che avverte esplicitamente: le infrastrutture portuali critiche che gestiscono l’80% del commercio globale sono target prioritari per attori state-sponsored.

Per il Mediterraneo, la rilevanza geopolitica è amplificata dalla prossimità a teatri di conflitto attivi (Ucraina, Medio Oriente, Libia) e dalla presenza di investimenti cinesi in porti strategici come Pireo, Valencia e, fino a tempi recenti, Trieste.

Cybercriminali e ransomware

Il ransomware resta la minaccia con il maggiore impatto operativo. L’attacco LockBit al Porto di Lisbona nel dicembre 2022 ha dimostrato come un singolo evento possa esfiltrare report finanziari, contratti, registri navali e dati del personale, con una richiesta di riscatto di 1,5 milioni di dollari. Il porto di Rijeka è stato colpito dal gruppo 8Base, mentre nel 2022 una campagna ransomware coordinata ha paralizzato i terminal petroliferi di Anversa, Rotterdam e Amburgo, costringendo operatori come Oiltanking e SEA-Invest a dichiarare force majeure.

Secondo il MCAD, il ransomware è responsabile del 69% degli attacchi cyber documentati contro i porti nel periodo 2011-2023.

Hacktivisti

L’hacktivismo a matrice geopolitica, in particolare gruppi pro-russi, genera il volume più alto di incidenti, prevalentemente attacchi DDoS (Distributed Denial of Service). Il report ENISA 2025 indica che circa l’88% degli incidenti nel settore trasporti è costituito da attacchi DDoS di matrice hacktivista, spesso sincronizzati con eventi politici come la firma di accordi bilaterali di sicurezza con l’Ucraina. Sebbene l’impatto operativo diretto sia generalmente limitato – solo il 2% ha provocato interruzioni di servizio effettive – questi attacchi rappresentano un “rumore di fondo” che distrae i SOC e può mascherare operazioni più sofisticate.

Il caso mediterraneo: specificità geostrategiche e criticità operative

Il Mediterraneo non è un bacino portuale come gli altri. La sua collocazione lo rende un chokepoint logistico di rilievo globale – circa il 25% del traffico container mondiale transita per le sue acque – e al tempo stesso un teatro geopolitico ad alta tensione. Questa duplice natura amplifica il profilo di rischio della sicurezza OT portuale in modi che i framework standard non sempre colgono.

Un primo elemento di specificità riguarda la frammentazione della governance. A differenza dei grandi hub portuali nordeuropei (Rotterdam, Amburgo), dove l’autorità portuale esercita un controllo relativamente centralizzato, i porti mediterranei operano spesso con modelli di concessione multipla, dove diversi terminal operator gestiscono infrastrutture adiacenti con policy di sicurezza disomogenee. A Genova, per esempio, il porto comprende terminal gestiti da operatori differenti, ciascuno con la propria infrastruttura IT/OT. Un attaccante che compromette il segmento meno protetto può potenzialmente raggiungere sistemi critici dell’intero scalo attraverso interconnessioni di rete condivise.

Un secondo fattore è la dipendenza tecnologica da fornitori extra-europei. Oltre alla questione ZPMC già citata, molti porti mediterranei utilizzano Terminal Operating System (TOS) sviluppati da vendor globali le cui architetture software non sempre rispettano i principi di security by design. L’aggiornamento di questi sistemi è complesso, costoso e operativamente rischioso: un patch fallito su un TOS può fermare un intero terminal.

Un terzo aspetto, spesso sottovalutato, è l’esposizione ai rischi di hybrid warfare. L’Ammiraglio Aurelio De Carolis, Comandante in Capo della Squadra Navale della Marina Militare italiana, ha evidenziato al recente Shipping, Transport & Intermodal Forum come la complessità dello scenario geopolitico attuale abbia implicazioni dirette sulla sicurezza delle infrastrutture portuali. Nella stessa sede, Marco Ghisi di Leonardo ha sottolineato l’importanza di un approccio zero trust per rafforzare la resilienza cyber delle infrastrutture marittime e logistiche, evidenziando la necessità strategica di ricorrere a soluzioni innovative sviluppate e governate in ambito europeo.

Il 16 dicembre 2025, un attacco cyber a una nave di bandiera italiana ha coinciso con l’emanazione di una circolare congiunta del Comando Generale della Guardia Costiera e dell’Autorità NIS dei trasporti per rafforzare la resilienza cibernetica dei trasporti marittimi, in linea con la direttiva NIS2 recepita dal D.lgs. 138/2024.

Il quadro normativo: NIS2, D.lgs. 138/2024 e l’ecosistema regolatorio europeo

La sicurezza OT portuale nel Mediterraneo si trova oggi all’intersezione di molteplici obblighi normativi che, per la prima volta, trattano la cybersecurity delle infrastrutture marittime come una questione di sicurezza nazionale.

La Direttiva NIS2 e il recepimento italiano

La Direttiva (UE) 2022/2555 (NIS2) classifica esplicitamente il settore trasporti – inclusi porti e operatori portuali – tra i soggetti ad alta criticità. In Italia, il recepimento è avvenuto con il D.lgs. 138/2024, entrato in vigore il 16 ottobre 2024, che impone alle entità essenziali e importanti obblighi stringenti:

  • Gestione del rischio multirischio (art. 21 NIS2), con misure tecniche e organizzative proporzionate al rischio.
  • Notifica degli incidenti significativi all’ACN: early warning entro 24 ore, report formale entro 72 ore, relazione finale entro un mese (art. 23 NIS2 / art. 39 D.lgs. 138/2024).
  • Responsabilità degli organi direttivi (art. 20 NIS2): il management aziendale è direttamente responsabile dell’approvazione e della supervisione delle misure di cybersecurity.
  • Sicurezza della supply chain: obbligo di valutare e gestire il rischio lungo l’intera catena di fornitura.

L’ACN ha emanato la determinazione 164179 nell’aprile 2025, definendo le misure di sicurezza di base per i soggetti NIS2. Il documento si basa sul Framework Nazionale per la Cybersecurity e la Data Protection (edizione 2025), sviluppato dal CIS Sapienza, dal CINI e dall’ACN stessa. Le tempistiche di adeguamento sono differenziate tra soggetti essenziali e importanti, con regimi transitori per settori specifici.

La regolamentazione USCG come benchmark globale

Sebbene non direttamente applicabile ai porti europei, la regolamentazione della U.S. Coast Guard entrata in vigore il 16 luglio 2025 costituisce un punto di riferimento rilevante. Per la prima volta, un incidente di cybersecurity che interrompe le operazioni portuali viene formalmente equiparato a un Transportation Security Incident (TSI), con lo stesso peso di una violazione fisica della sicurezza. La normativa impone la nomina di un Cybersecurity Officer (CySO), piani di risposta agli incidenti cyber dedicati e l’allineamento al NIST CSF 2.0 e al NIST SP 800-82r3 per la sicurezza dei sistemi di controllo industriale.

Il Cyber Resilience Act e la Direttiva CER

Due ulteriori strumenti completano il mosaico regolatorio europeo. Il Cyber Resilience Act (CRA) introduce requisiti di cybersecurity per i prodotti digitali con elementi connessi, inclusi i dispositivi IIoT utilizzati negli ambienti portuali. La Direttiva CER (2022/2557) sulla resilienza delle entità critiche affianca la NIS2, armonizzando sicurezza fisica e logica e richiedendo ai porti di affrontare anche minacce di tipo terroristico, sabotaggio e rischi naturali.

Framework e standard tecnici per la protezione OT portuale

La protezione degli ambienti OT portuali richiede l’adozione di framework specifici, concepiti per le peculiarità dei sistemi di controllo industriale. I tre pilastri di riferimento sono lo standard ISA/IEC 62443, il NIST SP 800-82 e il report ENISA “Port Cybersecurity – Good Practices”.

ISA/IEC 62443: la struttura portante della sicurezza OT portuale

Lo standard ISA/IEC 62443 rappresenta il framework di riferimento internazionale per la sicurezza dei sistemi di automazione e controllo industriale (IACS). Applicato al contesto portuale, offre un approccio strutturato basato su tre concetti cardine.

Il primo è la suddivisione della rete in zone e condotti (zones and conduits). Ogni zona raggruppa asset OT con requisiti di sicurezza omogenei, mentre i condotti regolano e controllano le comunicazioni tra zone diverse. In un terminal container, le gru STS, i sistemi di stacking automatizzato, i gate di accesso e i sistemi SCADA di monitoraggio energetico dovrebbero appartenere a zone distinte, con condotti rigorosamente regolati.

Il secondo è il concetto di Security Level (SL), che definisce il livello di robustezza richiesto per proteggere una zona da diversi profili di attaccante. Lo standard prevede cinque livelli, da SL 0 (nessun requisito specifico di sicurezza) a SL 4 (protezione contro attori state-sponsored con risorse significative). Per un’infrastruttura portuale critica, un SL 3 o superiore è generalmente appropriato per i sistemi di campo.

Il terzo è il principio di defense-in-depth, ovvero la stratificazione di controlli di sicurezza multipli e indipendenti, in modo che il fallimento di un singolo livello non comprometta l’intera infrastruttura. Questo principio, mutuato dalla dottrina militare, si traduce operativamente nella combinazione di controlli di rete (firewall industriali, IDS/IPS OT), endpoint (allowlisting, integrità del firmware), accesso (MFA, gestione delle credenziali) e monitoraggio (SOC OT, SIEM industriale).

Gli aggiornamenti 2025 allo standard IEC 62443 introducono un focus rafforzato sulla microsegmentazione, in particolare al di sotto del Livello 3 del modello Purdue, con un’enfasi crescente sulla segmentazione basata sull’identità (identity-based microsegmentation) e sulle policy dinamiche.

Il modello Zero Trust nell’OT portuale

L’approccio zero trust – “non fidarti mai, verifica sempre” – sta emergendo come paradigma complementare alla segmentazione tradizionale. Il whitepaper ISAGCA “Zero Trust Outcomes Using ISA/IEC 62443 Standards” dimostra come i principi ISA/IEC 62443 supportino nativamente l’architettura zero trust, a condizione che si rispetti un vincolo fondamentale: nei sistemi OT, la sicurezza (safety) e la disponibilità (availability) hanno priorità assoluta. Nessun controllo di sicurezza cyber deve compromettere le funzioni essenziali di un sistema di controllo industriale.

Questo significa che l’implementazione del modello zero trust in un porto richiede un approccio incrementale e consapevole. Si parte dalla visibilità completa degli asset – censire ogni PLC, RTU, HMI, sensore e gateway presenti nella rete OT. Si procede con la segmentazione logica e la verifica delle comunicazioni inter-zona. Solo successivamente si introducono controlli di autenticazione granulari e policy di accesso basate sul principio del minimo privilegio, sempre con meccanismi di fail-safe che preservino la continuità operativa.

Roadmap strategica: cinque priorità per i CISO portuali del Mediterraneo

Alla luce dell’analisi condotta, è possibile delineare una roadmap operativa che traduca i principi di sicurezza OT portuale in azioni concrete. Non si tratta di un esercizio accademico: ciascuna priorità risponde a una minaccia documentata e a un obbligo normativo in vigore o imminente.

  1. Asset discovery e visibilità OT/IIoT completa

Non si può proteggere ciò che non si conosce. Il primo passo è la creazione di un inventario dinamico e aggiornato di tutti gli asset OT, IoT e IIoT presenti nell’infrastruttura portuale. Questo include non solo i dispositivi di campo (PLC, RTU, sensori), ma anche le connessioni di rete, i protocolli utilizzati (Modbus, Profinet, DNP3, OPC UA) e le relazioni di dipendenza tra sistemi. Soluzioni di passive network monitoring specifiche per ambienti OT – come quelle offerte da Nozomi Networks, Dragos o Claroty – permettono di ottenere questa visibilità senza interferire con le operazioni di campo.

  1. Segmentazione IT/OT e microsegmentazione

La separazione tra rete IT e rete OT non è negoziabile. Ma non basta: all’interno della rete OT stessa, è necessaria una segmentazione granulare secondo il modello zone/condotti di IEC 62443. Le gru non devono poter comunicare direttamente con il sistema ERP. I gate di accesso non devono condividere segmenti di rete con i sistemi SCADA energetici. Ogni zona deve avere regole di traffico esplicite, monitorate e verificate periodicamente.

  1. Governance della supply chain digitale

La NIS2 rende obbligatoria la gestione del rischio cyber lungo la catena di fornitura. Per un porto, questo significa valutare la postura di sicurezza di ogni operatore terminalistico, fornitore di manutenzione, sviluppatore di software, provider di connettività che ha accesso – diretto o indiretto – ai sistemi OT. Clausole contrattuali specifiche, audit periodici e requisiti minimi di cybersecurity per i fornitori non sono più opzionali.

  1. SOC OT dedicato e incident response plan specifico

Un SOC (Security Operations Center) generico, pensato per l’IT, non è in grado di interpretare correttamente le anomalie in un ambiente OT. Protocolli industriali come Modbus TCP o Profinet hanno pattern di traffico radicalmente diversi da HTTP o DNS. È necessario un SOC OT dedicato – o una capability OT integrata nel SOC esistente – con analisti formati su protocolli industriali, personale reperibile 24/7 e playbook di risposta che tengano conto dei vincoli operativi (non si può “spegnere” una gru durante le operazioni di scarico come si spegnerebbe un server compromesso).

L’incident response plan deve essere specifico per l’OT portuale, testato attraverso esercitazioni periodiche e allineato ai requisiti di notifica della NIS2 (24h/72h/30 giorni). Complementare all’incident response è la predisposizione di backup offline dei sistemi critici – TOS, SCADA, configurazioni PLC – e di piani di disaster recovery OT che garantiscano il ripristino delle operazioni in tempi compatibili con la continuità del servizio portuale.

  1. Formazione continua e cultura della sicurezza OT

La tecnologia è necessaria ma non sufficiente. L’ultimo miglio della sicurezza OT portuale è costituito dalle persone. Operatori di gru, tecnici di manutenzione, personale di terminal devono essere coinvolti in programmi di security awareness calibrati sul loro contesto operativo specifico, non con generiche slide sul phishing aziendale. Esercitazioni tabletop che simulino scenari di attacco OT realistico – ad esempio, la compromissione di un sistema di gate automation o l’alterazione dei dati di un sistema di ormeggio assistito – costruiscono la memoria muscolare organizzativa necessaria per rispondere efficacemente quando l’incidente si verificherà.

Prospettive: verso un modello di resilienza portuale integrata

La sicurezza OT portuale nel Mediterraneo non può essere affrontata come un problema tecnologico isolato. È una questione di resilienza sistemica che intreccia cybersecurity, sicurezza fisica, continuità operativa, geopolitica e governance normativa.

L’evoluzione più significativa dei prossimi anni sarà probabilmente la convergenza tra sicurezza fisica e logica, già esplicitamente promossa dalla combinazione NIS2/CER. Un attacco ransomware che blocca i gate di un terminal ha lo stesso impatto operativo di un blocco fisico degli accessi. Il recente riconoscimento da parte della U.S. Coast Guard degli incidenti cyber come Transportation Security Incidents formali segna un cambio di paradigma che presto si rifletterà anche nel contesto europeo.

L’intelligenza artificiale, tanto come minaccia (AI-powered phishing, generazione di exploit zero-day, evasione dei sistemi di detection) quanto come strumento difensivo (anomaly detection su reti OT, automated threat hunting, incident triage assistito), rappresenta il fattore di accelerazione più rilevante. I porti che sapranno integrare capacità AI nei propri SOC OT avranno un vantaggio significativo nella detection di minacce avanzate.

Infine, la dimensione della sovranità tecnologica emergerà come tema dominante. La dipendenza da tecnologie e infrastrutture extra-europee per sistemi OT critici è un rischio che va progressivamente ridotto, come evidenziato da Leonardo al Forum sugli scenari geopolitici e la sicurezza portuale. Lo sviluppo di soluzioni di cybersecurity OT europee, certificate e interoperabili, è un investimento strategico, non solo industriale.

Conclusioni

La sicurezza OT portuale nei porti del Mediterraneo è un tema che non ammette più rinvii. L’incremento documentato degli incidenti – +150% in cinque anni secondo il MCAD -, l’evoluzione del quadro normativo con NIS2 e D.lgs. 138/2024, la crescente sofisticazione degli attori di minaccia state-sponsored e cybercriminali convergono nel definire uno scenario in cui l’inazione equivale a un rischio inaccettabile.

I CISO e i responsabili della sicurezza dei porti mediterranei hanno oggi a disposizione framework maturi (ISA/IEC 62443, NIST SP 800-82, ENISA Port Cybersecurity), obblighi normativi chiari e una comunità internazionale di pratica in rapida crescita. Ciò che serve è la volontà di investire – in tecnologia, competenze e governance – con la stessa urgenza con cui si investirebbe nella manutenzione di una banchina che mostra segni di cedimento strutturale.

Perché un attacco cyber a un sistema OT portuale non è un’eventualità astratta: è una certezza statistica. E quando accadrà, la differenza tra un incidente gestibile e una catastrofe operativa sarà determinata dalle scelte compiute – o non compiute – oggi.

La sicurezza OT portuale è, in definitiva, sicurezza economica, sicurezza nazionale e sicurezza collettiva. Trattarla come tale è il primo, indispensabile passo.

Fonti e riferimenti principali:

ENISA, Threat Landscape 2025, ottobre 2025 – enisa.europa.eu

ENISA, Port Cybersecurity – Good Practices for Cybersecurity in the Maritime Sector, 2019 – enisa.europa.eu

ENISA, Transport Threat Landscape – enisa.europa.eu

Karamperidis S. et al., Maritime Industry Cybersecurity Threats in 2025: APTs, Hacktivism and Vulnerabilities, Logistics, 9(4), 178, dicembre 2025 – mdpi.com

Dryad Global, Cybersecurity Threats in Maritime for 2025, gennaio 2025 – channel16.dryadglobal.com

Nozomi Networks, Securing the Digital Port: USCG Cybersecurity Compliance, aprile 2025 – nozominetworks.com

ISA/IEC 62443 Series – isa.org

ISAGCA, Zero Trust Outcomes Using ISA/IEC 62443 Standards – isagca.org

Direttiva (UE) 2022/2555 (NIS2) – eur-lex.europa.eu

D.lgs. 138/2024 – Recepimento NIS2 in Italia

ACN, Determinazione 164179 – Misure di sicurezza NIS2, aprile 2025 – acn.gov.it

NIST, Cybersecurity Framework 2.0 – nist.gov

NIST SP 800-82r3, Guide to OT Security – csrc.nist.gov

U.S. Coast Guard, Final Rule on Maritime Cybersecurity, 33 CFR 101 Subpart F, luglio 2025

CCDCOE NATO, Policy Brief on Port Cybersecurity

Senarak C., Port cyberattacks from 2011 to 2023: a literature review, Maritime Economics & Logistics, 26, 105-130, 2024 – porteconomicsmanagement.org

FEPORT, ENISA Threat Landscape 2025 highlights cyber risks for transport and ports, ottobre 2025 – feport.eu

Economia del Mare, Scenari geopolitici e sicurezza di porti e logistica, gennaio 2026 – economiadelmare.org

 

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi