Nel 2026 il 71% delle aziende interpellate da Fortinet dichiara di aver subìto tra una e nove intrusioni nei propri ambienti OT, rispetto al 47% dell'anno precedente. Il dato raffigura alla perfezione lo stato del settore presentato nel report 2026 State of Operational Technology and Cybersecurity di Fortinet basato su un'indagine commissionata alla società di ricerca indipendente Empanel Online su oltre 700 professionisti OT a livello globale, in aziende manifatturiere ed energetiche con oltre mille dipendenti.

Gli esperti di Fortinet reputano che il numero citato sopra sia frutto della maggiore consapevolezza del bisogno di security da parte delle aziende del settore. La crescita nel numero di intrusioni rilevate, infatti, non è necessariamente un segnale di un incremento degli attacchi. Anzi, è più probabile che sia il segnale della crescita della capacità di detection. A conferma di ciò, il report documenta un aumento notevole nella capacità di autovalutazione delle imprese interpellate, che sono passati da una media alta a un sensibile spostamento verso il basso, ma mano che i team IT e OT hanno iniziato a lavorare in modo integrato, che i budget per la security sono aumentati e che sono stati adottati strumenti più avanzati. La conseguenza diretta è che migliorano la visibilità sugli asset, il controllo degli accessi, la segmentazione di rete.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

Tuttavia, il margine di miglioramento è tale per cui servirà tempo per colmare i gap. La quota di organizzazioni che dichiara visibilità completa (100%) sui propri sistemi OT è salita dal 6% al 14%. La fascia di visibilità al 75% si conferma la più diffusa (59%), mentre il 23% dei rispondenti dichiara di avere visibilità su circa la metà dei propri sistemi, esponendo a vulnerabilità legate a informazioni a silos, mancanza di awareness e difficoltà di monitoraggio.

La notizia migliore riguarda il rinnovamento dei sistemi ICS: il 40% dei rispondenti opera su sistemi con meno di cinque anni di vita, quasi il doppio rispetto al 2025. Le organizzazioni con sistemi più vecchi (da 11 a 30 anni) sono scese al 12%, dal 18% del 2025.

Le intrusioni

Preso atto di quanto sopra, le intrusioni ci sono state e bisogna monitorarne tipo, tempistiche, danni, eccetera. Il phishing via email si conferma la piaga maggiore, con il 76% degli attacchi a suo carico. Seguono ransomware al 50% (in lieve calo dal 54% del 2025, ma ancora con un impatto potenzialmente devastante), compromissione di email aziendali al 45% e attacchi DDoS al 44%. Sul fronte delle tecniche utilizzate, cresce la compromissione di applicazioni web (65%), mentre si riduce la componente di insider breach non intenzionale, che potrebbe riflettere una migliore preparazione del personale.

Un aspetto di particolare rilievo riguarda l'impatto delle intrusioni sugli ambienti: solo il 24% dei rispondenti ha riferito di incidenti che hanno coinvolto sia i sistemi IT che quelli OT. Il dato è in forte calo rispetto al 60% del 2025, probabilmente in virtù di una migliore segmentazione tra i due ambienti. Gli impatti più frequenti restano le interruzioni operative che incidono sulla produttività (50%), la perdita di dati critici (44%), i mancati requisiti di compliance (43%) e le interruzioni che mettono a rischio la sicurezza fisica (43%).

Il dato che desta maggiore preoccupazione è l'allungamento del dwell time, ossia del tempo che un attaccante riesce a trascorrere all’interno dell’infrastruttura senza essere rilevato. In particolare, gli attacchi con dwell time di settimane sono passati dal 6% del 2025 al 13% nel 2026; quelli con dwell time di mesi sono saliti dal 5% al 7%. Il salto numerico sembra esiguo, ma le implicazioni sono gravi perché un attaccante che si muove nella rete aziendale per settimane può mappare la rete, esfiltrare proprietà intellettuale, pianificare un attacco con ripercussioni fisiche o predisporre con tutta calma l’ambiente per un ransomware.

Responsabilità e budget

Rispetto all’edizione 2025 del report, quest’anno tra le novità principali c’è la crescita della responsabilità della OT security a livelli VP e inferiori (dal 53% al 59%) e l’aumento del numero di aziende che nei prossimi 12 mesi intende spostare la cybersecurity OT sotto ai CISO.

Una delle tendenze più marcate del 2026 riguarda la pressione sui costi, che riflette il difficile contesto macroeconomico. Per la prima volta, la riduzione e il contenimento dei costi scalano al primo posto tra le metriche di cybersecurity (60%), superando indicatori quali la gestione del rischio (52%) o la rilevazione di intrusioni (42%). A bilanciare c’è la compliance normativa: quasi nove rispondenti su dieci (89%) si aspettano un aumento della regolamentazione entro cinque anni, che richiederà investimenti per soddisfare i requisiti.

A partire dai dati raccolti, Fortinet identifica cinque aree di intervento prioritarie per le organizzazioni che vogliono consolidare la propria sicurezza OT nel breve e medio termine. La prima è la segmentazione e la microsegmentazione delle reti IT e OT per limitare il movimento laterale degli attaccanti, isolare i sistemi ad alto rischio e consentire un monitoraggio più preciso dei comportamenti anomali. Negli ambienti OT, dove i dispositivi legacy, le reti piatte e le limitate possibilità di patching sono la norma, rappresenta un controllo compensativo capace di ridurre materialmente il rischio operativo.

La seconda priorità è l'adozione di soluzioni di Secure Remote Aaccess (SRA), in grado di abilitare la manutenzione remota da parte di vendor terzi senza i rischi di sicurezza associati alle VPN tradizionali. Le soluzioni SRA applicano principi Zero Trust, concedono accessi granulari e temporanei e forniscono logging continuo delle sessioni.

Il terzo pilastro è l'integrazione della sicurezza OT nei processi di security operation e incident response, che implica lo sviluppo di playbook che incorporano esplicitamente i sistemi OT, i processi produttivi e i ruoli a livello di impianto, garantendo al CISO visibilità sulle priorità e sui requisiti di budget specifici per l'ambiente OT.

Il quarto elemento è la threat intelligence specifica per l'OT, che deve coprire protocolli industriali, comportamenti degli asset e attività di minaccia rilevanti per il settore. Una security platform moderna deve applicare questa intelligence in modo continuo per fornire protezione vicina al real-time.

Il quinto e più ampio suggerimento è l'adozione di un approccio a piattaforma per l'intera architettura di sicurezza, riducendo la frammentazione dei vendor e centralizzando gestione, threat intelligence e orchestrazione. Le piattaforme arricchite con AI generativa context-aware sono indicate come moltiplicatore di efficacia, in grado di accelerare il troubleshooting delle vulnerabilità, ottimizzare i workflow di threat hunting e rivelare insight nascosti nella complessità distribuita degli ambienti OT/IT convergenti.