pv magazine Italia ha parlato con Stefano Carpigiani, business development manager presso Security Trust, della direttiva NIS2 in vigore in Italia dal 16 ottobre 2024. La responsabilità della cybersecurity è in capo al management, che deve supervisionare direttamente processi e misure adottate, ha detto Carpigiani, spiegando poi che le “sanzioni molto pesanti possono arrivare rapidamente”. Parliamo poi di sicurezza fisica e informatica degli impianti fotovoltaici, di come avviene un attacco informatico a un impianto fotovoltaico e in generale a un’area, del ruolo del server, delle tempistiche per le comunicazioni in caso di attacco informatico, delle assicurazioni e dei VPN.
Se non sbaglio ci sono due aspetti della sicurezza in relazione agli impianti fotovoltaici: quello relativo alla sicurezza fisica degli impianti e quello della sicurezza informatica. Quali sono le normative in Italia per questi due aspetti?
Per quanto riguarda la sicurezza fisica degli impianti fotovoltaici, parliamo soprattutto di videosorveglianza e controllo accessi. Questi aspetti sono regolati dal GDPR e dai provvedimenti del Garante Privacy, che definiscono come devono essere installati e gestiti i sistemi di ripresa e registrazione, oltre agli obblighi sulla tutela dei dati personali. Per quanto riguarda invece la sicurezza informatica l’impalcatura normativa di riferimento è la Direttiva NIS2, oggi in vigore in Europa e in Italia, è il pilastro normativo per gli operatori energetici. Richiede gestione del rischio, misure tecniche adeguate, governance interna e obbligo di notifica degli incidenti.
Partendo dalla parte forse più semplice, e quindi la sicurezza fisica degli impianti, qual è il ruolo dell’IA e come il mercato si sta spostando verso un modello misto, dove il controllo da quanto ho capito è fatto a bordo macchina e solo una parte dei flussi video vanno poi sui server. Quindi non è il server a lanciare gli allarmi, ma direttamente il bordo macchina? Perché è rilevante?
Il ruolo dell’IA nella sicurezza fisica degli impianti sta evolvendo rapidamente. Gli algoritmi non vengono più elaborati centralmente, ma direttamente a bordo camera, all’interno delle telecamere o dei dispositivi intelligenti installati sul campo. Questo consente analisi in tempo reale con una capacità di calcolo più veloce, precisa ed efficace rispetto ai modelli tradizionali, migliorando l’identificazione degli eventi, il riconoscimento delle intrusioni e la riduzione dei falsi allarmi. In questo modo gli operatori della Control Room possono concentrarsi sulla configurazione, sull’adattamento dei sistemi e sulla gestione degli allarmi, assumendo un ruolo sempre più tecnico e qualificato. In questo modello l’NVR, Network Video Recorder, cambia funzione: non genera più gli allarmi, ma si occupa soprattutto della registrazione, della gestione dei flussi video e della comunicazione verso le piattaforme di supervisione e le control room.
Il server di riferimento è un soggetto sensibile? Nel caso è meglio pensare a un server sul territorio nazionale? O meglio: ci sono dei requisiti o delle best practice sulla localizzazione dei server?
L’NVR, il Network Video Recorder, è uno dei principali elementi da considerare perché è fisicamente presente in impianto e gestisce la registrazione e l’archiviazione dei flussi video. Proprio per questo è un componente sensibile, non solo per i dati che contiene ma anche perché rappresenta un punto di transito e gestione delle informazioni provenienti dalla videosorveglianza. Anche quando l’NVR è configurato correttamente, la comunicazione verso l’esterno, per esempio verso piattaforme cloud, sistemi di monitoraggio o strumenti di analisi remota, può diventare vulnerabile se non è protetta, segmentata e controllata adeguatamente. L’esposizione verso Internet, se mal gestita, è infatti una delle principali vulnerabilità del sistema. Un altro elemento fondamentale è la Control Room dell’operatore di sicurezza, che oggi non si occupa più soltanto della gestione degli allarmi video ma sempre più anche della supervisione cyber e dell’infrastruttura di rete. In questo contesto, il ruolo dei servizi di SOC, Security Operation Center, e NOC, Network Operation Center, è diventato determinante. Alcuni operatori del settore, come Security Trust, sono evoluti proprio in questa direzione, integrando competenze di sicurezza fisica, sicurezza informatica e monitoraggio delle reti all’interno di control room protette, strutturate e localizzate in modo da garantire tempi di intervento rapidi e un’elevata continuità operativa.
Passiamo così forse all’aspetto più interessante: la cybersecurity degli impianti, soprattutto dei grandi impianti. Gli impianti fotovoltaici, come detto, devono rispettare i requisiti della NIS2, già in vigore da inizio gennaio, giusto? Quali sono questi requisiti?
La Direttiva NIS2 si applica alle entità essenziali e importanti dei settori ad alta criticità, tra cui l’energia, che rientra pienamente nel suo perimetro. Devono adeguarsi tutte le medie e grandi imprese, cioè quelle con più di 50 dipendenti o oltre 10 milioni di euro di fatturato o bilancio, considerando l’intero gruppo a livello europeo. Per gli impianti fotovoltaici la NIS2 introduce obblighi precisi: la cybersecurity diventa parte integrante della gestione operativa. La protezione deve riguardare l’intero ecosistema digitale dell’impianto, dai sistemi di controllo agli inverter, dalle comunicazioni alla telemetria, fino alle piattaforme di monitoraggio remoto. Gli operatori devono implementare programmi strutturati di gestione del rischio, controlli di accesso robusti, monitoraggio e aggiornamenti continui di infrastruttura IT e OT. Sono richiesti piani formali di risposta e ripristino in caso di incidente, oltre all’obbligo di notificare gli incidenti significativi entro 24 ore alle autorità competenti. Infine, la direttiva attribuisce un ruolo fondamentale alla governance: la responsabilità della cybersecurity è in capo al management, che deve supervisionare direttamente processi e misure adottate.
Cosa succederà nel caso di mancato adeguamento? Quali le possibili tempistiche per le multe?
La NIS2 prevede sanzioni molto pesanti per chi non si adegua: fino a 10 milioni di euro o al 2% del fatturato mondiale, applicando il valore più alto. Le multe possono arrivare rapidamente, soprattutto in caso di mancata notifica degli incidenti entro le 24 ore o di evidenti carenze nelle misure di sicurezza. Un aspetto decisivo riguarda il management, che ha responsabilità dirette: gli amministratori devono supervisionare e approvare le misure di cybersecurity e possono essere sanzionati o persino interdetti in caso di gravi omissioni. La direttiva prevede anche formazione obbligatoria per assicurare che il livello di competenza sia adeguato.
Cosa succederà in caso di attacchi informatici? Cosa dovrà fare il proprietario dell’impianto? Entro quando dovrà per esempio mandare una comunicazione all’Agenzia per la cybersicurezza nazionale (Acn)
In caso di attacco informatico, il proprietario dell’impianto deve attivare subito il proprio piano di risposta e ripristino, come previsto dalla NIS2, che richiede procedure formali per rilevare, contenere e gestire l’incidente. Se l’attacco genera un incidente significativo, scatta l’obbligo di notifica alle autorità: entro 24 ore l’allerta iniziale, ed entro 72 ore la comunicazione dettagliata. Questo obbligo diventa effettivo 9 mesi dopo l’inclusione nel registro NIS2, e il mancato rispetto comporta responsabilità e potenziali sanzioni. La direttiva assegna inoltre al management una responsabilità diretta: gli amministratori devono vigilare sulla sicurezza e sulla tempestività delle comunicazioni, e rispondono anche personalmente in caso di omissioni rilevanti.
Chi deve pagare in caso di attacco?
In caso di attacco informatico che provochi effetti sulla rete elettrica, il proprietario dell’impianto fotovoltaico non è responsabile dell’attacco in sé, perché l’azione criminale rimane attribuibile all’attaccante. Tuttavia, può essere ritenuto responsabile delle conseguenze se non ha adottato le misure di sicurezza richieste dalla NIS2, come la gestione del rischio, la protezione dei sistemi IT/OT, le procedure di risposta agli incidenti e il monitoraggio continuo, questo ovviamente con quanto ne potrebbe conseguire in caso di danni a terzi. Se invece l’impianto è correttamente adeguato alla normativa e può dimostrare di aver implementato tutte le misure previste, non viene ritenuto responsabile dei danni causati da un attacco che riesce comunque ad andare a segno. In questo contesto, anche il management ha responsabilità dirette: la NIS2 prevede che gli amministratori vigilino attivamente sulla cybersecurity e rispondano in caso di gravi omissioni nella governance
Sono previste anche assicurazioni? Come misurare il rischio di un attacco?
La misurazione del rischio in un impianto fotovoltaico si basa sulla combinazione tra probabilità di un attacco e impatto che potrebbe generare, sia in termini economici sia operativi. Per farlo è necessario identificare gli asset critici, valutare le minacce e capire quanto queste possano verificarsi in funzione del livello di protezione e aggiornamento dei sistemi. L’impatto potenziale va poi stimato considerando possibili perdite di produzione, fermi impianto o danni ai componenti.
Per gestire questi scenari esistono oggi polizze di cyber insurance, pensate per coprire i costi di ripristino, l’assistenza tecnica e legale e, in alcuni casi, anche le interruzioni operative. Sono strumenti sempre più utilizzati, anche per accompagnare le imprese negli obblighi richiesti dalla NIS2.
Potreste spiegare in generale come potrebbe avvenire un attacco? Non sarà solo uno l’impianto coinvolto, ma forse più un’area, giusto?
Un attacco informatico a un impianto fotovoltaico segue di solito uno schema ricorrente. L’attaccante parte da una fase di ricognizione, sfruttando punti deboli come sistemi non aggiornati, password deboli, credenziali compromesse o l’assenza di autenticazione forte. Una volta entrato, cerca di ottenere privilegi più elevati per raggiungere sistemi SCADA o i controlli degli inverter, con obiettivi che possono andare dal sabotaggio all’interruzione del servizio, fino all’estorsione tramite ransomware.
Poiché gli impianti fotovoltaici sono distribuiti e spesso gestiti attraverso le stesse piattaforme di monitoraggio, l’attacco può facilmente estendersi a più siti contemporaneamente. Vulnerabilità negli inverter, nei portali cloud o negli accessi remoti possono infatti essere sfruttate su larga scala.
Cosa succede poi alla frequenza dell’area? Si può arrivare all’alta tensione?
Un attacco informatico coordinato su molti impianti fotovoltaici di un’area può provocare rapide oscillazioni di frequenza sulla rete, perché l’attaccante può spegnere e riaccendere gli inverter in modo sincronizzato generando eventi di under‑frequency o over‑frequency. Studi internazionali, come l’analisi condotta sul mercato elettrico australiano, mostrano che anche una quantità relativamente contenuta di potenza fotovoltaica manipolata simultaneamente può alterare la frequenza in pochi secondi e attivare meccanismi di emergenza della rete, come il distacco automatico di carichi o di generazione. Se l’oscillazione è ampia o la zona ha una forte concentrazione di impianti FV, l’instabilità può propagarsi oltre la media tensione e raggiungere la rete ad alta tensione, soprattutto nelle ore di forte produzione solare, quando l’inerzia del sistema è più bassa. Le simulazioni accademiche indicano che attacchi ben orchestrati possono generare instabilità diffuse, perdite di potenza, distorsioni armoniche e, nei casi estremi, blackout locali o problemi su un’intera area geografica.
Abbiamo sentito parlare tanto di CCI. Questo ora è protetto, giusto? Ma è ora necessario proteggere altre parti dell’impianto? E in generale qual è la relazione tra la sicurezza del CCI e la sicurezza delle altre parti dell’impianto?
Il CCI è l’unico componente dell’impianto fotovoltaico con una normativa dedicata sulla cybersicurezza in fase di realizzazione, quindi deve rispettare requisiti tecnici precisi e verificabili. Tuttavia, rimane solo una delle tante parti dell’infrastruttura, e la sicurezza complessiva non può dipendere da un singolo dispositivo. Se reti, inverter, sistemi di comunicazione, accessi remoti o piattaforme di monitoraggio non sono protetti allo stesso livello, anche un CCI conforme risulta vulnerabile. Per questo la sua protezione ha senso solo all’interno di un impianto progettato e gestito in modo sicuro nel suo complesso, estendendo le misure a tutte le componenti critiche, dalla rete OT e SCADA agli inverter, ai gateway, ai sistemi di accesso e al cloud che gestisce i dati.
Quali sono i temi più rilevanti per i clienti più strutturati?
Per i clienti più strutturati la cybersecurity non è solo un tema tecnico, ma un elemento strategico che riguarda governance, gestione del rischio e organizzazione interna. La NIS2 rende questo ancora più evidente, perché richiede responsabilità chiare del management, processi documentati e una supervisione diretta sulle misure di sicurezza. Queste realtà devono garantire conformità normativa, scalare la sicurezza su più siti con modelli replicabili, controllare attentamente la supply chain e i fornitori, e disporre di monitoraggio continuo, piani di continuità e procedure di risposta agli incidenti. In sintesi, per loro la cybersecurity diventa un sistema integrato che coinvolge l’intera organizzazione, non solo la tecnologia.
Come proteggersi? Reti separate? VPN?
Per un grande impianto fotovoltaico la sicurezza deve essere progettata in modo multilivello. Non basta una sola misura, come una VPN: è necessario costruire un’architettura di difesa stratificata, in linea con le best practice OT e con quanto richiesto dalla NIS2. La separazione delle reti è fondamentale, ma deve essere fatta in modo corretto, distinguendo rete IT aziendale, rete OT/SCADA dedicata al controllo dell’impianto e una DMZ industriale che gestisca gli accessi remoti, i flussi verso il cloud e gli apparati di supervisione. Questa segmentazione, sia logica sia fisica, riduce la superficie d’attacco e limita la propagazione di eventuali compromissioni. Gli accessi remoti devono essere protetti con VPN robuste e autenticazione multifattore, gestione rigorosa delle credenziali, logging continuo e revoca tempestiva degli accessi non più necessari. Molti attacchi documentati nel settore energetico nascono proprio da accessi remoti poco protetti, quindi questo punto è particolarmente critico. A queste misure vanno aggiunti controlli essenziali: aggiornamento continuo dei dispositivi, gestione delle vulnerabilità, sistemi di monitoraggio e rilevamento delle anomalie, backup affidabili e piani di continuità operativa. Un ruolo chiave è svolto anche dalla supply chain, perché inverter, gateway, piattaforme cloud e manutentori esterni rappresentano spesso i punti più esposti. In sostanza, proteggere un impianto utility‑scale significa combinare reti ben separate, accessi sicuri, aggiornamenti costanti, monitoraggio avanzato e una rigorosa gestione dei fornitori. Solo l’integrazione di tutte queste misure garantisce un livello di sicurezza adeguato e realmente conforme alla NIS2.
Come e quando è meglio proteggersi? Immagino a livello di design iniziale, giusto? Cosa fare per impianti esistenti?
La protezione ideale parte già in fase di progettazione: realizzare un impianto “secure by design” significa scegliere hardware adeguato, definire da subito l’architettura di rete, stabilire i livelli di accesso e prevedere l’aggiornabilità dei dispositivi, così da rispettare fin dall’inizio i requisiti della NIS2 e ridurre la superficie d’attacco. Per gli impianti già esistenti è necessario un intervento diverso, basato su una valutazione tecnica approfondita da parte di un professionista. Occorre capire com’è strutturato l’impianto, come sono organizzate le reti e gli accessi remoti, quali dispositivi sono esposti e quali sistemi non sono aggiornati. Da qui si imposta un piano di retrofit e upgrade che includa separazione corretta delle reti, hardening dei dispositivi, gestione degli accessi, monitoraggio continuo e aggiornamenti coerenti con la NIS2. In generale, prima si interviene meglio è: la NIS2 richiede una revisione delle politiche di sicurezza, processi di gestione del rischio, piani di risposta e continuità operativa e una governance chiara. Adeguare gli impianti esistenti non è un’opzione, ma una necessità.
Quale il ruolo degli inverter? I produttori non europei di inverter potrebbero pagare lo scotto di eventuali tensioni geopolitiche? Secondo te in generale sarebbe possibile introdurre un cavallo di troia in chip all’interno degli inverter per poi attivarli al momento più opportuno? Sono rischi reali?
Gli inverter hanno un ruolo centrale nella cybersecurity degli impianti fotovoltaici perché sono dispositivi intelligenti, connessi e aggiornabili da remoto, quindi potenzialmente esposti: se compromessi possono alterare la produzione, modificare i parametri di rete o diventare un punto d’ingresso per attacchi più ampi. Il tema geopolitico esiste, ma riguarda tutta la componentistica critica. La NIS2 richiede valutazioni più approfondite sulla supply chain, più trasparenza e controlli più stringenti sui fornitori, senza escludere a priori quelli non europei ma imponendo una due diligence molto più rigorosa. L’ipotesi di un “cavallo di Troia” hardware non è tecnicamente impossibile, ma nella pratica i rischi maggiori arrivano da vulnerabilità software, configurazioni errate, firmware non aggiornati, password deboli, portali cloud esposti e accessi remoti poco controllati, che sono gli aspetti sfruttati più spesso negli attacchi reali. Per questo, più che temere scenari estremi, è fondamentale affidarsi a professionisti esperti, in grado di valutare la filiera, verificare firmware e processi produttivi, selezionare dispositivi certificati e progettare un’architettura coerente con gli standard del settore. L’inverter resta un punto critico, ma la sicurezza reale dipende sempre dalla solidità dell’intero sistema e dalla competenza di chi lo progetta e lo gestisce.
Di recente la startup tedesca Solarsecure Tech ha introdotto un gateway progettato per disaccoppiare gli inverter fotovoltaici dai cloud dei produttori e bloccare i comandi di controllo remoto non autorizzati. Cosa ne pensate?
L’idea alla base del gateway di Solarsecure Tech è interessante perché introduce un livello di controllo in un punto molto critico: la comunicazione tra inverter e cloud del produttore. Il dispositivo filtra tutti i comandi in ingresso e inoltra soltanto quelli autenticati, bloccando eventuali istruzioni non verificate. Inoltre, i comandi dell’operatore di rete vengono gestiti su un canale sicuro separato, riducendo la dipendenza dai cloud dei vendor e migliorando la robustezza complessiva del flusso di controllo. È originale anche l’integrazione del rilevamento dei droni tramite analisi RF, che combina elementi di sicurezza fisica e digitale, attivando modalità di protezione avanzate quando si riscontrano correlazioni tra attività sospette in rete e presenza di UAV. Si tratta però di una funzione ancora sperimentale, così come l’intero prodotto, che è in attesa di certificazione BSI e VDE e non ha ancora installazioni operative sul campo. C’è però un limite strutturale da evidenziare: un gateway di questo tipo protegge solo gli inverter e la loro interfaccia con il cloud del produttore. Non copre il resto della filiera di potenziali vulnerabilità di un impianto fotovoltaico, che include rete OT, SCADA, accessi remoti, piattaforme di monitoraggio, firmware, supply chain e tutti gli altri componenti esposti. Da solo, quindi, non può garantire la sicurezza dell’intero impianto, ma rappresenta un tassello utile all’interno di un’architettura di difesa più ampia e sistemica. In sintesi, è un approccio promettente e tecnicamente corretto, ma ancora immaturo e con un perimetro di protezione limitato: utile sugli inverter, ma non sufficiente a coprire l’intero ecosistema di sicurezza richiesto dagli impianti utility‑scale.
I presenti contenuti sono tutelati da diritti d’autore e non possono essere riutilizzati. Se desideri collaborare con noi e riutilizzare alcuni dei nostri contenuti, contatta: editors@nullpv-magazine.com.
Inviando questo modulo consenti a pv magazine di usare i tuoi dati allo scopo di pubblicare il tuo commento.
I tuoi dati personali saranno comunicati o altrimenti trasmessi a terzi al fine di filtrare gli spam o se ciò è necessario per la manutenzione tecnica del sito. Qualsiasi altro trasferimento a terzi non avrà luogo a meno che non sia giustificato sulla base delle norme di protezione dei dati vigenti o se pv magazine ha l’obbligo legale di effettuarlo.
Hai la possibilità di revocare questo consenso in qualsiasi momento con effetto futuro, nel qual caso i tuoi dati personali saranno cancellati immediatamente. Altrimenti, i tuoi dati saranno cancellati quando pv magazine ha elaborato la tua richiesta o se lo scopo della conservazione dei dati è stato raggiunto.
Ulteriori informazioni sulla privacy dei dati personali sono disponibili nella nostra Politica di protezione dei dati personali.