Negli ultimi due anni i fornitori d’acqua britannici hanno subito un numero record di cyberattacchi. Tra le maglie della normativa Nis, il Regno Unito prepara una riforma della resilienza cibernetica mentre il settore idrico, strategico e fragile, diviene terreno di competizione ibrida tra attaccanti ed attaccati
Cinque attacchi informatici in meno di due anni contro i fornitori d’acqua del Regno Unito. Nonostante nessuno di questi abbia interrotto l’erogazione del servizio, il dato indica come la superficie digitale di un’infrastruttura tanto basilare quanto fondamentale, come quella idrica, rientri pienamente nel radar delle minacce ibride.
Secondo quanto riportato da Recorded Future, tra gennaio 2024 e ottobre 2025 il Drinking Water Inspectorate (Dwi) ha ricevuto 15 segnalazioni di incidenti, cinque delle quali relative a intrusioni informatiche. Gli episodi non avrebbero riguardato i sistemi classificati come “essenziali” sotto la normativa Nis – il principale strumento legale britannico per la protezione delle infrastrutture critiche – ma quelli periferici, come ambienti gestionali, uffici, reti di supporto. Che significa? Che ogni zona, ritenuta erroneamente di importanza secondaria, diviene superficie di attacco per le minacce ibride. Colpire dove esistono vulnerabilità o vulnus difensivi per causare disagio, rallentamenti, obbligare interventi costosi e limare, ancora una volta, la percezione privata o pubblica. Colpire nelle zone grigie, spesso anche le più vulnerabili.
Il paradosso
Secondo le normative vigenti nel Regno Unito, le attuali regole obbligano a segnalare solo gli incidenti che causano un’interruzione effettiva del servizio. Ciò significa che attività di preposizionamento o ricognizione, tipiche delle campagne di influenza e preparazione di attori statali, come il gruppo cinese Volt Typhoon, restano de facto fuori dai radar. Così, gli attacchi ibridi possono proliferare liberamente, senza efficaci e ufficiali meccanismi di contrasto.
Il fatto che le cinque segnalazioni siano arrivate “per finalità informative”, poiché considerate rilevanti per la “resilienza del sistema idrico”, è un segnale di maturità istituzionale, ma anche la prova di un vuoto normativo che il governo britannico tenterà di colmare con il Cyber Security and Resilience Bill, atteso da tempo in Parlamento.
“Le minacce che affrontiamo sono sofisticate, incessanti e costose”, ha dichiarato un portavoce del governo britannico a Recorded Future, confermando che il nuovo disegno di legge dovrà rafforzare le difese di rete “a tutela dei servizi di cui i cittadini si fidano per vivere la loro quotidianità”.
L’intelligence e la cultura della condivisione
Gli episodi del Regno Unito possono fungere da monito. Gli attacchi alle infrastrutture critiche avvengono quotidianamente, la differenza la fa la cultura della condivisione e dell’apprendimento reciproco, congiuntamente alla capacità di raccogliere, analizzare e diffondere informazioni operative, prima che un’anomalia si trasformi in sabotaggio.
In un contesto in cui le reti idriche, l’energia, le telecomunicazioni e molti altri settori si trasformano da infrastrutture critiche a potenziali superfici di attacco.
Dall’Irlanda al Canada, la pressione aumenta
Attacchi alle reti idriche nell’ultimo biennio, ma non solo. Nel dicembre 2023, un gruppo di hacker filo-iraniani aveva bloccato per giorni la fornitura idrica in una zona rurale dell’Irlanda occidentale, attaccando un componente industriale di origine israeliana. Episodi analoghi si sono moltiplicati in Nord America, dove gruppi hacktivisti sono riusciti perfino a manipolare la pressione dell’acqua in alcune reti locali canadesi.
Negli Stati Uniti, gli sforzi per migliorare la sicurezza dei sistemi idrici si sono arenati tra le pressioni dell’industria e le divisioni politiche al Congresso, nonostante l’aumento dei ransomware e delle intrusioni sponsorizzate da Stati, tra le quali spicca Salt Typhoon.
Difendere l’ordinario
Il National Cyber Security Centre (Ncsc) britannico insiste su una linea pragmatica e lungimirante: separare nettamente le reti It (informatiche) da quelle Ot (tecniche), e concentrarsi sulla protezione dalle minacce quotidiane più che da scenari estremi.
Ciò significa che la ricerca degli attori più sofisticati o pericolosi e la progettazione degli scenari più critici non deve distogliere l’attenzione dalla difesa del quotidiano, dei processi basici, delle azioni più semplici.
Le minacce moderne, infatti, non mireranno al blackout in una mossa sola. Nessun avvelenamento, nessuna emergenza nazionale. Non lo scacco matto ma l’insieme delle mosse, sempre a bassa intensità, sempre ad alta complessità. Non il danno immediato, ma l’erosione graduale della fiducia pubblica, la mappatura delle reti, la preparazione del terreno per futuri shock. Guerra ibrida da manuale.
