Nel primo trimestre 2025 il numero di incidenti cyber che ha colpito le organizzazioni del comparto Energy & Utilities è pari al 40% in più rispetto al 2023, con una proiezione che prevede un ulteriore incremento del 21% entro la fine dell’anno. L’allarme è contenuto nel Rapporto Clusit Energy & Utilities 2025 e conferma il fatto che il settore in questione è tra i più esposti a livello globale sia per la frequenza degli attacchi, sia per il loro potenziale impatto critico.

La situazione così come descritta è frutto del fisiologico progresso tecnologico che da una parte prospetta concrete opportunità di crescita e sostenibilità, ma dall’altro amplia la superficie di attacco esponendo le infrastrutture critiche a rischi crescenti e sempre più sofisticati. In questo caso, tuttavia, la risposta non può essere solo tecnologica: deve coinvolgere tutte le componenti dell’ecosistema, dalla governance aziendale ai fornitori, dalle autorità di controllo alle istituzioni nazionali e internazionali.

Un settore sensibile

Il settore Energy & Utilities è da tempo considerato un obiettivo privilegiato da parte di cybercriminali, hacktivisti e APT sia per la sua importanza strategica sia per la crescente digitalizzazione delle infrastrutture critiche. Non serve andare lontano per comprendere le potenzialità di un attacco alla rete elettrica: lo ha sperimentato a proprie spese la popolazione ucraina nel 2015 in uno scenario di guerra ibrida. Lasciando da parte il contesto di guerra ibrida, è chiaro da tempo che attaccare le Utilities crea danni tali da favorire il pagamento di riscatti milionari. È Trustwave, fra gli altri, a calcolare che gli attacchi ransomware contro il settore sono aumentati dell’80% nel 2024 rispetto all’anno precedente, con la maggior parte delle intrusioni che hanno colpito gli ambienti IT e un ampliamento sempre più frequente agli ambienti OT, a cui fa materialmente capo la produzione e la distribuzione di energia.

Tornando all’analisi del Clusit, c’è un dato positivo che solleva il morale: nonostante la crescita marcata degli incidenti, nel primo trimestre del 2025 c’è stata una flessione della gravità degli impatti: la percentuale di incidenti con impatto ‘critico’ è scesa dal 37% del 2024 al 32% nei primi mesi del 2025, mentre si è registrato un forte spostamento dal livello di impatto ‘alto’ a quello ‘medio’ (aumento del 42% degli episodi con impatto medio).

I ricercatori reputano che il trend positivo possa essere frutto della maggiore pressione normativa e della maturazione delle strategie di cybersecurity nelle grandi aziende del settore, che finalmente stanno investendo in misure organizzative e tecnologiche avanzate.

Sul fronte delle tecniche di attacco, nel 2025 il 58% degli incidenti è stato causato da attacchi DDoS, che sono tipicamente attacchi dimostrativi condotti da hacktivisti in conseguenza al quadro geopolitico. Al secondo posto figurano gli attacchi che sfruttano vulnerabilità (26%) e quelli che hanno coinvolto malware (11%). Il cambiamento più rilevante riguarda le finalità degli attaccanti: mentre nel 2024 la stragrande maggioranza degli incidenti era riconducibile al cybercrime (quindi a tentativi di estorsione di denaro), nei primi tre mesi del 2025 il 58% degli attacchi è stato motivato da attività di hacktivism, con il cybercrime che scende al 37% e lo spionaggio/sabotaggio al 5%.

La geografia degli attacchi e il contesto internazionale

La distribuzione geografica delle vittime è cambiata rispetto al 2024: oltre la metà (58%) degli attacchi ha colpito organizzazioni europee; il 32% ha mirato a bersagli statunitensi, con una chiara inversione di tendenza rispetto all’anno precedente, quando quasi la metà delle vittime era negli USA e solo il 35% in Europa. Il dati si incrocia con quello precedente sull’hacktivismo e sul quadro geopolitico, in cui l’Europa è al centro di importanti conflitti armati sia sul fronte russo che su quello palestinese.

Tra le principali sfide identificate dagli esperti ci sono la protezione dei dati, la gestione dei rischi legati all’intelligenza artificiale e alle campagne di phishing, e la necessità di investire nella formazione del personale e nell’aggiornamento tecnologico delle infrastrutture.