La cybersecurity delle reti idriche è diventata un elemento essenziale per garantire la continuità dell’erogazione dell’acqua potabile e il corretto funzionamento dei sistemi di raccolta e trattamento delle acque reflue. La progressiva digitalizzazione degli impianti consente di controllare a distanza pompe, valvole, serbatoi, dosaggi chimici, accessi e parametri di processo, ma aumenta anche l’esposizione a guasti informatici, accessi abusivi e attacchi ransomware. Il quadro normativo di riferimento è stato rafforzato dalla Direttiva (UE) 2022/2555, conosciuta come NIS2, recepita in Italia dal Dlgs 138/2024.
L’allegato I del decreto include tra i settori ad alta criticità sia l’acqua potabile sia le acque reflue. Gli articoli 23, 24 e 25 disciplinano rispettivamente la responsabilità degli organi di amministrazione, le misure di gestione dei rischi per la sicurezza informatica e la notifica degli incidenti significativi. Il Dlgs 102/2025 ha inoltre aggiornato la disciplina sulla qualità delle acque destinate al consumo umano, intervenendo principalmente sui controlli sanitari e sui contaminanti. La tutela della qualità dell’acqua deve quindi essere integrata con la protezione digitale degli impianti che ne assicurano captazione, trattamento e distribuzione.
La cybersecurity tra sistemi gestionali e impianti industriali
La cybersecurity delle reti idriche deve considerare insieme i sistemi informatici aziendali e le tecnologie operative che governano i processi fisici. Un attacco alla posta elettronica o ai server amministrativi può compromettere dati, comunicazioni e attività organizzative, mentre l’intrusione nei sistemi di controllo industriale può bloccare pompe, modificare l’apertura delle valvole, alterare i parametri di trattamento o rendere indisponibili le informazioni necessarie agli operatori. Le conseguenze possono riguardare l’interruzione del servizio, la perdita di pressione, il mancato trattamento delle acque reflue, danni agli impianti e rischi per l’ambiente e la salute pubblica.
Le vulnerabilità aumentano quando sono presenti apparati obsoleti, credenziali condivise, collegamenti remoti non protetti, reti aziendali e industriali non separate o dispositivi non più supportati. Anche i fornitori, i manutentori e i servizi esterni possono rappresentare punti di accesso indiretti. La valutazione del rischio deve quindi individuare gli impianti più critici, le dipendenze tecnologiche, le possibili modalità di attacco e l’impatto concreto di un’interruzione. Non è sufficiente proteggere i dati: occorre garantire che il servizio idrico possa continuare o essere ripristinato rapidamente anche quando una parte dei sistemi digitali non è disponibile.
Le misure operative per garantire continuità e sicurezza
Le imprese e gli enti gestori devono trasformare l’analisi del rischio in un programma strutturato di prevenzione, risposta e ripristino. Il primo passo consiste nel censire reti, software, dispositivi, sistemi di telecontrollo e collegamenti con soggetti esterni, attribuendo a ogni componente un livello di criticità. La separazione tra la rete informatica e la rete industriale limita la propagazione degli attacchi, mentre l’autenticazione a più fattori, la gestione rigorosa delle credenziali e il controllo degli accessi remoti riducono il rischio di intrusioni.
Gli aggiornamenti devono essere pianificati tenendo conto della continuità degli impianti e accompagnati da verifiche sulle vulnerabilità. I backup devono essere protetti, separati dai sistemi principali e periodicamente testati attraverso prove di ripristino. Sono inoltre necessari sistemi di monitoraggio, registrazione degli eventi e rilevazione delle anomalie, insieme a procedure chiare per isolare le componenti compromesse e mantenere attive le funzioni essenziali.
La formazione del personale deve coinvolgere operatori tecnici, amministratori, dirigenti e fornitori, perché errori, messaggi fraudolenti e uso improprio degli accessi possono compromettere anche le protezioni più avanzate. Il piano di risposta agli incidenti deve definire responsabilità, contatti, modalità di comunicazione, obblighi di notifica e procedure alternative manuali. La sicurezza informatica diventa così parte integrante della gestione industriale e della continuità del servizio.