Quando la serratura parla IT: la sicurezza fisica come porta d’ingresso per gli attacchi cyber

di Manuel Serra - Founder e AD di Galileo Security, società di cybersecurity con sede a Bologna. Dopo aver maturato una solida esperienza nella sicurezza informatica, ha fondato Galileo per rispondere a un’esigenza concreta: unificare sicurezza e compliance. La piattaforma di Continuous Security Oversight trasforma ogni azione preventiva in un passo verso la conformità normativa. L’obiettivo è offrire alle aziende italiane uno strumento per osservare e migliorare la propria postura di sicurezza in modo continuo e basato sulla realtà

Telecamere esposte, badge clonabili, centraline antincendio collegate alla rete aziendale. I sistemi di sicurezza fisica, nati per proteggere persone e spazi, si stanno trasformando in una delle superfici d’attacco più comode per chi sa dove guardare.

C^’è un paradosso che in pochi prendono sul serio: i dispositivi installati per proteggere un edificio possono diventare la via più rapida per violarlo. Serve solo una connessione remota e una password di default mai cambiata. Tornelli, lettori badge, telecamere e centraline di building automation sono dispositivi di rete a tutti gli effetti. Parlano la stessa lingua dell’infrastruttura IT aziendale, ne condividono spesso i segmenti, e in molti casi sono raggiungibili da internet. Il problema è che chi li installa raramente si pone dubbi della loro igiene cyber e il risultato è un ecosistema di apparati connessi, sempre attivi, che nessuno aggiorna e nessuno segmenta.

Telecamere: proteggono o espongono?

Trovare telecamere italiane accessibili da internet è banale. Bastano pochi minuti e un motore di ricerca specializzato e ci si ritrova davanti a feed video aperti al mondo. E questo è un rischio che va oltre la privacy: una telecamera IP è un dispositivo Linux connesso alla rete locale. Da lì si può fare ricognizione, si può intercettare traffico e tentare movimenti laterali verso server e postazioni di lavoro. Il caso Mirai nel 2016 ha dimostrato come centinaia di migliaia di telecamere potessero essere arruolate in una botnet capace di paralizzare porzioni significative della rete globale. Il problema, però, è a monte. Chi progetta un impianto di videosorveglianza ragiona su ottiche, compressione, retention e, eventualmente, conformità GDPR. La sicurezza della rete su cui quell’impianto poggia resta fuori dalla conversazione.

Controllo accessi: il badge non è solo un pezzo di plastica

Un lettore badge moderno ha un indirizzo IP, comunica con un server centralizzato e gestisce database di credenziali. Se il protocollo tra lettore e centralina non è cifrato, e in molti impianti legacy non lo è, chiunque abbia accesso alla rete locale può intercettare i dati delle tessere, clonarle o manipolare le regole di accesso.

Alcune tecnologie presentano vulnerabilità note da oltre quindici anni, eppure continuano a essere installate. Ciò che aggrava ancor di più è che la compromissione di questi sistemi non è limitata solo ad un’ipotetica intrusione fisica, ma un sistema di controllo accessi è anche una fonte di informazioni sulle abitudini delle persone: materiale prezioso per campagne di social engineering mirate.

L’edificio intelligente come vettore di attacco

Sistemi come l’antincendio, impianti HVAC, illuminazione intelligente e di gestione energetica sono tutti governati da protocolli come BACnet o Modbus, spesso collegati alla rete IT senza segmentazione. Il report 2025 di Forescout inserisce per la prima volta i Building Management Systems e i sistemi di controllo accessi fisici tra le categorie di dispositivi più a rischio. Il Rapporto Clusit 2026 conferma il quadro: l’integrazione tra IT e OT introduce nuove vulnerabilità, con la situazione spesso aggravata dalla presenza di sistemi legacy, segmentazione assente e autenticazione debole.

Questi dispositivi fungono da ponte tra mondo fisico e digitale e operano su sistemi che non possono essere aggiornati senza interrompere servizi essenziali. Un attaccante che compromette la gestione della ventilazione può usarla come trampolino per raggiungere il dominio Active Directory dell’azienda. Secondo Dragos, nel 2024 i gruppi ransomware attivi contro ambienti OT/ICS sono aumentati del 60%, e il 75% degli incidenti gestiti ha causato un’interruzione parziale delle operazioni.

Che fare, concretamente

La prima azione è la più semplice: inventariare. Sapere quanti dispositivi di sicurezza fisica sono connessi alla rete, con quali credenziali, su quali segmenti. Poi segmentare: telecamere, lettori badge e BMS non devono risiedere sulla stessa rete delle postazioni di lavoro. Infine, monitorare: trattare ogni dispositivo connesso come un potenziale punto di compromissione, non come un oggetto inerte.

La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, allarga il perimetro di sicurezza a tutti i sistemi informativi e di rete utilizzati nell’erogazione dei servizi, incluse le infrastrutture di building automation. Non è più una questione di buona prassi, ma è un obbligo normativo. 

Chi installa e gestisce sistemi di sicurezza fisica ha oggi una responsabilità in più: garantire che quegli stessi sistemi non diventino il tallone d’Achille dell’infrastruttura digitale del cliente. Sicurezza fisica e cybersecurity non sono più due mondi separati. Sono lo stesso perimetro.