Spinte dalla trasformazione digitale, le aziende di servizi igienico-sanitari in Brasile stanno sempre più incorporando tecnologie intelligenti – dai sensori remoti e sistemi di telemetria a piattaforme di automazione integrate – per ottimizzare le loro operazioni e ridurre le perdite. Il problema è che questo progresso amplifica la superficie di attacco cibernetico, e un settore che è sempre più preso di mira dai criminali può rimanere esposto a incursioni di hacker.
Il risultato è che la sicurezza informatica non è più considerata una questione meramente tecnica di IT, ma come una priorità strategica nelle aziende di acque e acque reflue. Le concessionarie di acqua ora affrontano minacce informatiche sofisticate, spesso mirate a far crollare o manipolare sistemi di pompaggio, trattamento o controllo della qualità.
Infrastruttura critica nel mirino: attacchi informatici in aumento
Le statistiche confermano un'escalation globale degli attacchi informatici contro le aziende di servizi essenziali, incluse quelle di igiene. Secondo una ricerca di Check Point, solo nel 2025 i settori dell'energia e delle utility hanno subito in media 1.872 tentativi di attacco a settimana per organizzazione nel mondo, un aumento di 53% rispetto allo stesso periodo dell'anno precedente.
In Brasile, il settore delle utility ha registrato circa 3.059 tentativi settimanali di attacco per organizzazione tra settembre 2024 e febbraio 2025. Una delle ragioni è l'appello strategico di questo tipo di infrastruttura: i criminali preferiscono obiettivi che possono causare interruzioni e danni massicci poiché sanno che la società richiederà soluzioni rapide, il che spesso si traduce nel pagamento di un riscatto per ripristinare i servizi.
Molte società idriche, soprattutto quelle che servono popolazioni piccole o medie, operano con sistemi di controllo obsoleti che non sono mai stati progettati per affrontare l'attuale scenario di minacce informatiche. Le reti SCADA, i controllori logici programmabili (PLC) e i gateway di accesso remoto spesso mancano di controlli di sicurezza di base, come la comunicazione criptata o meccanismi di autenticazione robusti.
Gli aggiornamenti e le correzioni di sicurezza sono rari o impraticabili a causa della necessità di mantenere i sistemi in funzione e per questioni di compatibilità. Di fronte a questa realtà, valutazioni di rischio specifiche per il settore e audit dei sistemi diventano essenziali per comprendere e mitigare le vulnerabilità.
Impatti reali: interruzione dei servizi, contaminazione e danni alla reputazione
Lungi dall'essere rischi teorici, gli attacchi informatici contro i sistemi di approvvigionamento idrico hanno già provocato effetti concreti. Un caso emblematico si è verificato nel febbraio 2021 nella città di Oldsmar, in Florida (USA), quando un intruso è riuscito a ottenere l'accesso remoto al sistema di trattamento dell'acqua e ha tentato di aumentare drasticamente la dose di idrossido di sodio (soda caustica) nell'acqua potabile – da 100 parti per milione a 11.000 ppm.
Se non fosse stata prontamente rilevata dalla squadra, questa modifica avrebbe avvelenato l'acqua distribuita, causando gravi irritazioni, danni ai polmoni e persino rischi di cecità nella popolazione. Le autorità hanno fortunatamente notato il cambiamento in tempo e hanno annullato la modifica prima che l'acqua contaminata arrivasse ai rubinetti.
Gli attacchi informatici possono anche interrompere completamente il servizio idrico o ostacolarne il funzionamento, anche senza provocare contaminazione. Nel Regno Unito, nell'agosto 2022, la società South Staffordshire Water, che rifornisce una rete con oltre 1,6 milioni di persone, ha subito un attacco di ransomware che ha colpito i suoi sistemi IT. I criminali hanno affermato di aver avuto accesso anche alla rete di OT, inclusi i sistemi di monitoraggio dei livelli chimici dell'acqua.
Anche se l'attacco non ha provocato un'interruzione immediata dell'acqua, il tempo di risposta consumato e l'incertezza generata sono stati estremamente dannosi. Situazioni del genere comportano spese operative extra, la mobilitazione di squadre di emergenza e un crollo della fiducia dei consumatori. La percezione pubblica che "gli hacker hanno violato l'acqua" può macchiare la reputazione di una concessionaria per anni.
Strategie di difesa
Per proteggere le proprie operazioni, le aziende hanno adottato strategie avanzate di sicurezza informatica. Uno dei approcci più efficaci è l'architettura Zero Trust, che si basa sul principio che nessun accesso — sia di utenti, dispositivi o applicazioni — deve essere considerato affidabile per impostazione predefinita, anche se si trova già all'interno della rete.
Un altro pilastro è la segmentazione tra le reti di TI (tecnologia dell'informazione) e OT (tecnologia operativa). Separare gli ambienti industriali dal resto della struttura aziendale rende significativamente più difficile la propagazione degli attacchi.
In molti casi, tuttavia, le aziende devono effettuare un'analisi più approfondita dell'infrastruttura, che include l'inventario e la classificazione degli asset e la revisione dell'architettura di rete. A partire da ciò, è possibile, oltre a optare per tecnologie più avanzate, realizzare una modellazione delle minacce per gli ambienti OT e l'elaborazione di piani di risposta agli incidenti. Gli esperti esterni con esperienza specifica nei sistemi industriali possono offrire questi servizi senza compromettere la continuità operativa.
Il settore dell'acqua e delle acque reflue svolge un ruolo unico nell'infrastruttura nazionale: è essenziale per la salute pubblica, altamente decentralizzato e opera con un ecosistema tecnologico tanto diversificato quanto complesso. Di fronte alle minacce informatiche in continua evoluzione, è indispensabile che anche questo settore maturi il suo approccio alla sicurezza digitale. L'esperienza tecnica indipendente, precedentemente vista come un supporto complementare, si consolida oggi come elemento indispensabile per garantire la continuità dei servizi, preservare la fiducia della popolazione e sostenere la resilienza operativa di fronte a rischi sempre più sofisticati.
Di Eduardo Gomes, Responsabile della Cybersicurezza presso TÜV Rheinland
