Ogni giorno, nel mondo, vengono registrati circa 820.000 tentativi di attacco informatico contro dispositivi connessi. Non contro grandi aziende o infrastrutture governative: contro qualsiasi cosa abbia un indirizzo IP e una vulnerabilità non corretta. Secondo i dati di DeepStrike per il 2025, gli attacchi mirati alle infrastrutture critiche sono aumentati del 46% rispetto all’anno precedente, con una particolare attenzione ai dispositivi medici connessi. E in Italia, l’ACN ha segnalato in agosto 2025 un aumento preoccupante di dispositivi IoT accessibili dalla rete pubblica con protezioni insufficienti.

Il mercato IoT italiano aveva già raggiunto 8,3 miliardi di euro nel 2022, con una crescita del 13% annuo. Ogni anno si aggiungono milioni di nuovi dispositivi connessi: sensori industriali, telecamere, sistemi di building automation, dispositivi medici, elettrodomestici smart. La maggior parte di questi dispositivi viene configurata una volta, messa in un angolo e dimenticata. Non vengono aggiornati, non vengono monitorati, non vengono mai revisionati dal punto di vista della sicurezza. Diventano quello che il settore chiama “dark matter della rete aziendale”: cose connesse che nessuno sa esattamente dove siano, cosa facciano e quale versione firmware girino.

Perché i dispositivi IoT sono così facili da compromettere

La risposta breve è: perché sono stati progettati per essere economici e funzionali, non sicuri. Molti produttori di dispositivi a basso costo compilano firmware con librerie obsolete, usano password di default identiche per milioni di dispositivi dello stesso modello, non hanno mai un processo di aggiornamento funzionante, e talvolta hanno backdoor incorporate per ragioni di manutenzione che diventano porte d’ingresso per chiunque.

Nel 2024, le smart TV rappresentavano il 31% dei dispositivi compromessi rilevati, seguite dai router. Questo non sorprende: sono tra i dispositivi più diffusi, raramente aggiornati dagli utenti, e hanno connettività di rete permanente con banda sufficiente per partecipare ad attacchi. Uno smart TV con una versione di Android del 2019 non aggiornata è esposto a decine di vulnerabilità note e pubblicamente documentate. Chiunque voglia aggiungerlo alla propria botnet impiega letteralmente minuti.

L’IoT industriale: quando la posta in gioco sale

Se un robot aspirapolvere compromesso è un problema di privacy e di banda consumata, un PLC compromesso in una linea di produzione è un problema di sicurezza industriale, di continuità operativa e potenzialmente di incolumità delle persone. Il Rapporto CLUSIT 2026 segnala che la crescente interconnessione tra sistemi IT e OT introduce superfici di esposizione che molte aziende manifatturiere italiane non hanno ancora mappato completamente.

Il problema specifico dell’IoT industriale è che i dispositivi OT hanno cicli di vita molto più lunghi di quelli consumer: un PLC può restare in produzione 15-20 anni. Nel 2025, molti di questi dispositivi non ricevono più aggiornamenti di sicurezza dal produttore, hanno interfacce web di amministrazione sviluppate con tecnologie degli anni 2000, e comunicano con protocolli industriali come Modbus o DNP3 che non prevedono alcuna autenticazione nelle loro specifiche originali.

Cosa può fare concretamente un’azienda

Il primo passo è sapere cosa c’è nella propria rete. La maggior parte delle aziende non ha un inventario aggiornato dei dispositivi connessi. Strumenti come Nmap, Nessus o soluzioni specifiche per l’asset discovery OT come Claroty o Dragos permettono di mappare automaticamente tutto ciò che risponde su una rete. Il secondo passo è la segmentazione: i dispositivi IoT non dovrebbero mai essere nella stessa VLAN dei sistemi critici aziendali. Il terzo passo, spesso ignorato per ragioni di budget, è la gestione del ciclo di vita: definire una policy chiara su quando un dispositivo viene considerato end-of-life dal punto di vista della sicurezza e come viene sostituito.