Secondo studi di Check Point Research, nel 2025 il settore dell’energia e dei servizi pubblici (compreso quello idrico) ha subito finora in media 1.872 tentativi di attacco settimanali, con un aumento del 53% rispetto allo stesso periodo dell’anno precedente. Il Nord America ha registrato la variazione più elevata, con un sorprendente aumento dell’89% di attacchi rispetto allo stesso periodo del 2024, seguito dall’Europa (+82%) e dall’Africa (+45%).
L’acqua è l’essenza della vita, ma nel mondo digitale di oggi è anche un obiettivo sempre più interessante per i criminali informatici. Gli impianti di trattamento delle acque e i sistemi di distribuzione si basano su controlli digitali che, se compromessi, possono portare a conseguenze disastrose, tra cui contaminazione, interruzioni del servizio e minacce alla salute pubblica.
Una valutazione condotta nel 2024 dall’EPA (Environmental Protection Agency) statunitense ha rilevato che 97 sistemi di acqua potabile, che servono circa 26,6 milioni di persone, presentavano vulnerabilità critiche o ad alto rischio per la sicurezza informatica.
Con infrastrutture critiche come quelle idriche costantemente minacciate, è solo questione di tempo prima che un attacco informatico riesca ad avere un impatto su centinaia di migliaia, se non milioni di vite.
L’economia di un attacco all’acqua
Oltre alla salute pubblica, gli attacchi informatici alle infrastrutture idriche hanno enormi ripercussioni economiche. I fornitori di acqua e di acque reflue sono i primi obiettivi dei criminali informatici per il ruolo essenziale che svolgono nel sostenere le comunità locali e le operazioni quotidiane. Tuttavia, i rischi vanno oltre le interruzioni operative. Un sistema compromesso potrebbe causare la contaminazione dell’acqua potabile, mettendo in serio pericolo la salute e la sicurezza pubblica.
Oltre alle famiglie, numerose industrie dipendono da un approvvigionamento idrico costante e sicuro, compresi gli impianti di produzione e i centri dati, che si affidano all’acqua per i sistemi di raffreddamento. Un attacco informatico a queste utenze potrebbe portare a interruzioni diffuse con gravi conseguenze. Le interruzioni dell’approvvigionamento idrico possono bloccare le attività industriali, avere un impatto sull’agricoltura e destabilizzare le economie locali.
In Italia, Alto Calore Servizi SpA, una società italiana che fornisce acqua potabile a 125 comuni di Avellino e Benevento – due province del sud Italia – ha subito un attacco ransomware nel 2023. L’azienda governativa gestisce anche i servizi di fognatura e depurazione per entrambe le province. Sebbene l’attacco informatico non abbia interrotto la distribuzione dell’acqua, il database dell’azienda è stato compromesso e ha reso inutilizzabili tutti i sistemi informatici.
Secondo la US Water Alliance un’interruzione di un giorno del servizio idrico negli Stati Uniti potrebbe mettere a rischio 43,5 miliardi di dollari di attività economica. Un esempio simulato di attacco informatico a Charlotte Water, nella Carolina del Nord, ha previsto perdite giornaliere di almeno 132 milioni di dollari per mancati introiti, con costi di sostituzione superiori ai 5 miliardi di dollari, come risulta da una revisione delle iniziative di sicurezza informatica dell’agenzia da parte dell’Ufficio dell’ispettore generale dell’Agenzia per la protezione dell’ambiente.
I sistemi idrici, in particolare, sono altamente vulnerabili, poiché le infrastrutture obsolete sono improvvisamente esposte a minacce basate su Internet e il potenziale di interruzione rende queste strutture obiettivi primari, soprattutto per gli attori degli Stati nazionali. In realtà, una struttura idrica compromessa va oltre il semplice incidente informatico, poiché ha un impatto sull’intero Paese, fa notizia e, cosa più grave, rappresenta una minaccia diretta per la sicurezza pubblica.
Il tributo economico di un attacco informatico riuscito ai servizi idrici è troppo grande per essere ignorato. La resilienza deve essere una priorità e gli investimenti nella sicurezza informatica devono essere considerati come investimenti nella stabilità economica.
Rafforzare le difese informatiche: cosa bisogna fare
Le aziende idriche devono adottare un approccio proattivo alla sicurezza informatica. Secondo la U.S. Environmental Protection Agency (EPA), il 98% dei cyberattacchi potrebbe essere prevenuto o ridotto al minimo con un’igiene informatica di base. Alcuni passi fondamentali per migliorare la sicurezza sono:
Investire nella sicurezza degli endpoint e delle reti. Le aziende idriche dovrebbero implementare sistemi di rilevamento delle minacce basati sull’intelligenza artificiale per monitorare l’attività di rete e prevenire le intrusioni.
Porre l’attenzione sulle lacune normative che lasciano le aziende esposte al rischio: Le normative in materia di sicurezza informatica per i servizi idrici non sono così stringenti come quelle per i settori dell’energia o della finanza, con l’invito a fare di più in questo campo.
Rendere obbligatoria la formazione sulla sicurezza informatica. Il Water Information Sharing and Analysis Center (WaterISAC) ha identificato la formazione come una priorità assoluta per migliorare la preparazione informatica, in quanto vi è una grave mancanza di formazione in materia di sicurezza informatica tra gli operatori idrici e molte strutture non dispongono di personale dedicato alla sicurezza informatica.
Applicare l’autenticazione a più fattori (MFA). Impedire l’accesso non autorizzato ai sistemi di tecnologia operativa (OT), poiché l’accesso remoto non protetto è spesso una delle principali vulnerabilità, con gli aggressori che spesso sfruttano protocolli di accesso remoto deboli.
Sviluppare piani di risposta agli incidenti. I fornitori di acqua devono disporre di protocolli di risposta per ridurre al minimo i danni derivanti da potenziali attacchi.
Con l’aumento delle minacce informatiche alle infrastrutture idriche, la necessità di misure di sicurezza proattive non è mai stata così forte. I governi, le aziende idriche e gli esperti di sicurezza informatica devono collaborare per proteggere questi sistemi vitali prima che altri attacchi colpiscano gravemente questo settore vitale.
