Due livelli che si sommano, la topologia fisica della cascata e i punti ciechi del monitoraggio, creano un divario di rilevamento che i quadri normativi esistenti hanno individuato ma non ancora colmato.
L'impostazione convenzionale della sicurezza infrastrutturale chiede se un avversario possa violare il perimetro di un sistema difeso. Paarker pone una domanda diversa: e se la topologia dell'infrastruttura stessa, le dipendenze fisiche tra i sistemi, le lacune nel modo in cui tali sistemi sono monitorati e i pattern architetturali condivisi con cui sono stati costruiti, costituisse la vulnerabilità?
La cascata non è una metafora. È una deformazione misurabile e in espansione tra sistemi accoppiati. Una ricerca su 700 eventi in 30 Paesi ha rilevato che le imprese che perdono il servizio a causa della propagazione a cascata sono cinque volte più numerose di quelle colpite dall'evento fisico originario, con i guasti a cascata che rappresentano il 64–89% di tutte le interruzioni di servizio (Mühlhofer et al., ETH Zurich, 2024). I due livelli descritti in questa pagina spiegano il perché.
Tutti i risultati riportati di seguito provengono da fonti pubbliche europee e internazionali: i threat landscape di ENISA, gli avvisi congiunti dei Five Eyes, i rapporti sugli incidenti di ENTSO-E, le valutazioni della Commissione UE e registri di incidenti open source.
Nel corso del Novecento l'Europa ha costruito le proprie infrastrutture idriche, energetiche e industriali come un sistema fisico integrato che attraversa i confini nazionali. Le cascate idroelettriche alpine alimentano la rete sincrona ENTSO-E che serve 400 milioni di persone in 25 Paesi. Il bacino del Po collega l'approvvigionamento idrico agricolo, il raffreddamento industriale, il trattamento municipale e la produzione di energia in un unico sistema idrologico. Le centrali nucleari in Francia e nell'Europa centrale dipendono dall'acqua dei fiumi per il raffreddamento.
| Sistema | Scala | Dipendenze | Vulnerabilità chiave |
|---|---|---|---|
| Idroelettrico alpino | Cascata multi-Paese | Rete ENTSO-E, industria della Pianura Padana, raffreddamento nucleare | Cascata transfrontaliera, giurisdizione multi-regolatore |
| Rete ENTSO-E | 25 Paesi, 400 mln di persone | Tutta l'infrastruttura elettrificata, data center, trasporti | La deviazione di frequenza si propaga in secondi oltre i confini |
| Industria del Nord Italia | Corridoio Lombardia-Veneto-Emilia | Manifattura, trattamento acque, energia, trasporti | Densa concentrazione di soggetti NIS2, infrastrutture condivise |
| Energia del Mare del Nord | Multinazionale | Eolico offshore, cavi sottomarini, interconnettori del gas | Difficoltà di accesso fisico, corridoi di cavi condivisi |
Il problema fondamentale della topologia a cascata come superficie di minaccia è temporale. Le conseguenze fisiche si propagano alla velocità dell'idraulica e della deviazione di frequenza della rete elettrica. Le risposte difensive si propagano alla velocità della coordinazione transfrontaliera: catene di notifica CSIRT, coinvolgimento delle autorità nazionali, gestione delle deroghe normative, costituzione di un comando incidenti multilaterale.
L'8 gennaio 2021, una cascata di disconnessioni automatiche ha separato l'area sincrona dell'Europa continentale ENTSO-E. Nel giro di secondi, la rete si è suddivisa in due regioni isolate, attivando il distacco di carico d'emergenza in più Paesi. Nessun essere umano avrebbe potuto intervenire alla velocità richiesta dalla fisica.
Gli incidenti del 2022 al gasdotto Nord Stream hanno dimostrato che anche l'infrastruttura energetica europea è un bersaglio di disruzione fisica. La cascata economica di quegli eventi si è propagata per mesi attraverso i mercati dell'energia, la produzione industriale e i calcoli di sicurezza nazionale. Un avversario non ha bisogno di distruggere l'infrastruttura. Generare sufficiente incertezza sulla sua integrità innesca una cascata a sé stante.
L'infrastruttura europea è governata da un mosaico di regolatori nazionali, ciascuno dei quali attua le direttive UE con tempistiche diverse. La NIS2 è stata adottata nel gennaio 2023, con recepimento da parte degli Stati membri previsto entro l'ottobre 2024. L'Italia l'ha recepita con il D.Lgs. 138/2024. Altri Stati membri sono a stadi diversi. Ciò crea cuciture normative: la stessa infrastruttura fisica che si propaga a cascata oltre i confini nazionali è monitorata da regolatori che operano al loro interno.
Una cascata idroelettrica che inizia in Svizzera e si propaga attraverso Italia e Austria attraversa almeno tre quadri normativi distinti, nessuno dei quali ha visibilità sulla postura di monitoraggio degli altri. Il regime italiano di assicurazione obbligatoria contro le catastrofi naturali (Decreto 18/2025), sostenuto dalla facility di riassicurazione SACE, aggiunge a questi percorsi di cascata una dimensione finanziaria che nessun modello esistente valuta tra domini.
Esistono registri autorevoli delle infrastrutture europee: registri delle dighe, il modello di rete di ENTSO-E, inventari nazionali degli asset. Catalogano attributi fisici quali ubicazione, capacità, proprietà e caratteristiche strutturali. Non contengono alcuna informazione sullo stato di vulnerabilità, sui livelli di patch o sullo storico degli incidenti dei sistemi di controllo che gestiscono questi asset.
Il processo di registrazione NIS2 cattura informazioni a livello di soggetto quali recapiti, classificazione settoriale e range di IP. Si tratta di un passo avanti significativo, ma cattura un'istantanea, non un flusso continuo. Un soggetto conforme al momento della registrazione può scivolare nella non conformità nel giro di settimane. Il portale di registrazione non può rilevare questa deriva.
I settori con i più bassi tassi di segnalazione degli incidenti in Europa includono le infrastrutture idriche, la gestione delle dighe e la tecnologia operativa nell'energia e nella manifattura. L'interpretazione convenzionale è rassicurante: pochi incidenti segnalati suggeriscono che il settore sia sicuro. Quell'interpretazione è sbagliata.
I servizi finanziari e la sanità segnalano migliaia di incidenti all'anno non perché siano particolarmente insicuri, ma perché riescono a vedere ciò che sta loro accadendo. La segnalazione quasi nulla del settore idrico indica un'assenza di capacità di monitoraggio, non un'assenza di attività ostile.
Il Threat Landscape 2024 di ENISA ha documentato operazioni persistenti sponsorizzate da Stati che prendono di mira le infrastrutture critiche europee. L'avviso congiunto pubblicato dalle agenzie dei Five Eyes ha confermato il pre-posizionamento nelle reti di tecnologia operativa dell'acqua e dell'energia, con attori che hanno mantenuto l'accesso per anni prima del rilevamento. Un avversario che opera in un ambiente privo di monitoraggio, utilizzando tecniche costruite per eludere il monitoraggio, non genera incidenti da segnalare.
| Anno | Incidente | Rilevanza |
|---|---|---|
| 2021 | Separazione della rete ENTSO-E | L'area sincrona continentale si è separata in pochi secondi. Cascata transfrontaliera, impatto multi-Paese. |
| 2022 | Gasdotto Nord Stream | Distruzione fisica di infrastruttura energetica transfrontaliera. La cascata economica è durata mesi. |
| 2023–2025 | Pre-posizionamento Volt Typhoon | L'avviso dei Five Eyes ha confermato una presenza sponsorizzata da Stati nell'OT di acqua ed energia. Tempi di permanenza pluriennali. |
| 2025 | Diga di Lake Risevatnet, Norvegia | Attori attribuiti alla Russia hanno aperto a piena capacità una valvola dell'acqua per quattro ore. Classificato come guerra ibrida. |
| 2025 | Centrale idroelettrica di Tczew, Polonia | Hacktivisti russi hanno modificato i parametri del generatore, forzando l'arresto della turbina. Secondo attacco allo stesso impianto in tre mesi. |
Ogni livello peggiora l'altro. Il vuoto di monitoraggio rende la topologia a cascata più pericolosa, perché un avversario può pre-posizionarsi all'interno di un asset connesso alla cascata senza essere rilevato. La topologia a cascata rende il vuoto di monitoraggio più gravoso, perché la compromissione si propaga attraverso le dipendenze fisiche prima che qualcuno si accorga del problema.
Lo scenario combinato: un avversario prende di mira un asset connesso alla cascata privo di monitoraggio (Livello due) e ottiene effetti che si propagano attraverso la topologia fisica (Livello uno). In nessun momento l'avversario ha bisogno di una sofisticazione fuori dal comune. È l'infrastruttura a fornire il percorso di attacco.
Nessuno strumento esistente legge entrambi i livelli. I modelli tradizionali si fermano al livello dell'impianto. La valutazione della cascata richiede la geometria della propagazione tra domini: gli stadi quattro e cinque della catena di cascata, dove gli eventi fisici diventano eventi finanziari e poi eventi normativi.
Gli approcci esistenti sono specifici per asset e circoscritti per settore. Sono ottimizzati per irrobustire i singoli impianti, migliorare il rilevamento all'interno dei singoli sistemi e valutare il rischio all'interno delle singole organizzazioni. Sono obiettivi di valore. Non affrontano la vulnerabilità combinata.
NIS2 e DORA impongono la valutazione del rischio cross-infrastrutturale e la sicurezza della filiera. Il regime italiano di assicurazione obbligatoria contro le catastrofi naturali (Decreto 18/2025) crea un obbligo finanziario che si interseca con la fisica delle cascate. Queste normative esistono perché le istituzioni europee hanno riconosciuto il divario. Gli strumenti per colmarlo non esistono ancora a livello strutturale.
La capacità di rilevamento mancante deve leggere attraverso i confini normativi, trattare l'assenza della telemetria attesa come un segnale di rilevamento, individuare quando gli asset connessi alla cascata condividono vulnerabilità correlate e valutare la propagazione della cascata lungo le dimensioni fisica, finanziaria, operativa e normativa.
Paarker è stata costruita per operare in questo divario.
Licenziataria europea della piattaforma di intelligenza geometrica. Startup Innovativa, Milano.
L'azienda