Il numero di dispositivi connessi alle reti aziendali sta crescendo più rapidamente di quanto la maggior parte dei team di sicurezza riesca a monitorare. Con IoT Analytics che riporta 21,1 miliardi di dispositivi IoT connessi a livello globale nel 2025 e proiezioni che superano i 25 miliardi entro il 2026, la superficie di attacco si sta espandendo a un ritmo che endpoint tradizionale non è stata progettata per gestire. La maggior parte di questi dispositivi non può eseguire agenti di sicurezza. Sono dotati di credenziali predefinite, ricevono aggiornamenti firmware poco frequenti e funzionano su sistemi proprietari che resistono alle modifiche. Il risultato è un ambiente in cui gli aggressori trovano facili punti di accesso e i difensori faticano a ottenere visibilità. Questa guida illustra cos'è la sicurezza IoT, le minacce più rilevanti nel 2026, le recenti violazioni che espongono le conseguenze nel mondo reale e le pratiche stratificate di cui le organizzazioni hanno bisogno per proteggere i dispositivi connessi nella rete moderna.
La sicurezza IoT è l'insieme di pratiche, tecnologie e politiche che proteggono i dispositivi Internet of Things e le reti a cui sono collegati dalle minacce informatiche. Comprende il rafforzamento dei dispositivi, il monitoraggio della rete, la crittografia dei dati e il controllo degli accessi per i dispositivi connessi (sensori, telecamere, apparecchiature mediche, controller industriali ed elettrodomestici intelligenti) che spesso non dispongono delle risorse informatiche necessarie per eseguire i tradizionali software di sicurezza. Poiché questi dispositivi raccolgono, trasmettono e agiscono sui dati in ambienti aziendali e industriali, una compromissione può avere ripercussioni ben oltre il dispositivo stesso.
La portata della sfida continua a crescere. Secondo IoT Analytics, i dispositivi IoT connessi hanno raggiunto i 21,1 miliardi a livello globale nel 2025, con una crescita del 14% su base annua. Il mercato della sicurezza IoT riflette questa urgenza, con stime che vanno da 8 a 45 miliardi di dollari nel 2026, a seconda di come viene definita la sicurezza IoT (fonte: aggregazione comparecheapssl, 2026).
La sicurezza dell'IoT si basa su tre pilastri: sicurezza dei dispositivi, sicurezza della rete e sicurezza cloud. Ogni livello affronta un segmento diverso della superficie di attacco, ma il livello di rete riveste un'importanza fondamentale perché è l'unico che fornisce visibilità sui dispositivi che non possono ospitare le proprie difese.
I dispositivi IoT rappresentano una sfida particolarmente difficile in termini di sicurezza per cinque motivi:
Queste vulnerabilità spiegano perché gli operatori di botnet e gli attori statali prendono sempre più di mira i dispositivi IoT come punto di accesso iniziale alle reti aziendali.
La sicurezza dell'IoT opera su tre livelli architetturali, ciascuno dei quali affronta una parte diversa della superficie di attacco. Comprendere come questi livelli interagiscono tra loro e dove permangono delle lacune è essenziale per costruire un ambiente IoT difendibile.
Livello dispositivo. La sicurezza inizia dal dispositivo stesso attraverso firmware rinforzato, processi di avvio sicuro, gestione delle credenziali e crittografia dei dati inattivi. I produttori che seguono standard come NIST SP 800-213 integrano la sicurezza nei dispositivi sin dalla fase di progettazione. Tuttavia, molti dispositivi IoT vengono forniti senza queste protezioni e le organizzazioni non possono installarle a posteriori dopo l'implementazione.
Livello di rete. La segmentazione della rete (VLAN, microsegmentazione) isola i dispositivi IoT in modo che una compromissione in un segmento non possa diffondersi liberamente. Il monitoraggio del traffico e il rilevamento delle anomalie tramite soluzioni di rilevamento e risposta di rete identificano i comportamenti sospetti in tempo reale. Questo livello è il controllo principale per gli ambienti senza agenti.
LivelloCloud applicativo. La sicurezza delle API, il controllo degli accessi e la crittografia dei dati in transito (TLS 1.2 o superiore) proteggono i cloud con cui comunicano i dispositivi IoT. La gestione Cloud garantisce che configurazioni errate, come quella alla base della violazione di Mars Hydro, non espongano miliardi di record.
Testo alternativo per il diagramma dell'architettura: architettura di sicurezza IoT a tre livelli che mostra il rafforzamento dei dispositivi nella parte inferiore, il monitoraggio della rete tramite NDR nella parte centrale e i controlli cloud nella parte superiore, con punti di rilevamento etichettati in ogni livello.
Poiché la maggior parte dei dispositivi IoT non è in grado di eseguire endpoint , l'analisi del traffico di rete diventa il metodo principale per identificare i dispositivi compromessi. Secondo una ricerca di settore, l'80% delle violazioni IoT ha origine a livello di dispositivo (2025, deepstrike.io), ma i difensori devono rilevare queste compromissioni dalla rete, l'unico punto di osservazione disponibile.
Il rilevamento e la risposta di rete monitorano sia i flussi di traffico IoT est-ovest (interni) che nord-sud (esterni) per rilevare comportamenti anomali: callback di comando e controllo, movimenti laterali e tentativi di esfiltrazione dei dati. L'analisi comportamentale definisce i modelli di comunicazione normali di ciascun dispositivo (una telecamera IP dovrebbe comunicare con il proprio NVR, non con un IP esterno in una zona geografica sconosciuta) e segnala automaticamente eventuali deviazioni.
Questo approccio senza agenti offre la stessa visibilità sui dispositivi gestiti e non gestiti, colmando il divario che le strategie endpoint lasciano aperto.
Per costruire un'architettura di sicurezza IoT resiliente sono necessarie quattro funzionalità che lavorano insieme:
Le minacce IoT nel 2026 spaziano da botnet da oltre 20 Tbps e malware della catena di approvvigionamento malware ricognizioni basate sull'intelligenza artificiale e campagne sponsorizzate dallo Stato che prendono di mira infrastrutture critiche. La tabella seguente mappa le minacce più diffuse a MITRE ATT&CK osservate negli attacchi IoT.
Tabella: MITRE ATT&CK più comunemente osservate negli attacchi IoT (2024-2026)
Reclutamento di botnet e DDoS. La botnet Aisuru/TurboMirai ha raggiunto una capacità DDoS di oltre 20 Tbps nel 2025-2026, con una crescita del 700% su base annua in termini di potenziale di attacco. Microsoft Azure ha bloccato un attacco DDoS record di 15,72 Tbps collegato alle botnet IoT all'inizio del 2026.
Compromissione della catena di approvvigionamento. BadBox 2.0 ha compromesso più di 10 milioni di smart TV, proiettori e sistemi di infotainment con malware preinstallato malware , rendendola la più grande botnet TV conosciuta (fonte: Asimily).
Ransomware che prende di mira OT e IoT. Secondo Nozomi Networks, nel 2025 gli attacchi ransomware contro i sistemi OT sono aumentati del 46%, utilizzando sempre più spesso dispositivi IoT compromessi come punto di ingresso iniziale.
Esposizione dei dati. La configurazione errata di Mars Hydro ha esposto 2,7 miliardi di record di dispositivi IoT nel 2025, dimostrando che i fallimenti nella sicurezza IoT cloud possono essere devastanti tanto quanto le compromissioni a livello di dispositivo.
In tutte le categorie, Bitdefender e Netgear hanno rilevato 13,6 miliardi di attacchi IoT solo tra gennaio e ottobre 2025.
Le recenti violazioni dell'IoT dimostrano che gli attacchi alla catena di approvvigionamento, le botnet e le configurazioni errate rappresentano un rischio esistenziale per le organizzazioni impreparate. I cinque casi riportati di seguito, tutti risalenti al periodo 2024-2026, illustrano la portata e la varietà dei fallimenti reali nella sicurezza dell'IoT.
Le conseguenze finanziarie degli attacchi informatici all'IoT sono notevoli e in aumento:
Questi dati sottolineano perché la sicurezza dell'IoT non è più facoltativa. Una singola violazione dei dati da un dispositivo IoT non monitorato può costare più di anni di investimenti preventivi.
La sicurezza IoT e OT condividono sfide simili, ma differiscono in termini di priorità, caratteristiche dei dispositivi e metodi di rilevamento. Comprendere queste differenze, e i punti di convergenza tra i due ambiti, è fondamentale per le organizzazioni che gestiscono ambienti sempre più interconnessi.
Tabella: Differenze principali tra sicurezza IoT, OT e IIoT
L'Industrial IoT (IIoT) collega entrambi i mondi, implementando sensori e controller connessi in contesti produttivi e infrastrutture critiche in cui sono in gioco sia l'integrità dei dati che la sicurezza fisica.
L'11 dicembre 2025 è stata raggiunta una svolta normativa fondamentale, quando la CISA ha pubblicato il CPG 2.0, che unifica gli obiettivi di sicurezza IT, IoT e OT in sei funzioni: governare, identificare, proteggere, rilevare, rispondere e ripristinare. Si tratta del primo framework che collega formalmente tutti e tre i domini, riflettendo la convergenza che i team di sicurezza gestiscono a livello operativo da anni.
Le organizzazioni necessitano di funzionalità integrate di rilevamento delle minacce e conformità che abbracciano IoT, OT e IT, non di strumenti isolati che creano punti ciechi ai confini.
Una difesa efficace dell'IoT richiede otto livelli di protezione, dall'inventario dei dispositivi allo zero trust, con un monitoraggio basato sulla rete che colma il divario di sicurezza senza agenti.
Le organizzazioni dovrebbero inoltre integrare sistemi di rilevamento e prevenzione delle intrusioni e programmi di gestione delle vulnerabilità nella loro strategia di sicurezza IoT per garantire una valutazione continua della postura.
Adattare zero trust all'IoT richiede di affrontare una tensione fondamentale: molti dispositivi IoT non sono in grado di supportare zero trust standard zero trust come l'autenticazione a più fattori o i certificati client.
Le soluzioni pratiche includono:
Zero Trust per l'IoT dellaCloud Alliance fornisce un quadro di riferimento per le organizzazioni che stanno affrontando questo processo di adattamento.
Il panorama normativo dell'IoT sta diventando sempre più rigoroso, con gli obblighi di segnalazione CRA dell'UE che entreranno in vigore nel settembre 2026 e il CISA CPG 2.0 che sta già unificando gli obiettivi di sicurezza IT, IoT e OT.
Tabella: Panorama normativo in materia di sicurezza dell'IoT all'inizio del 2026
Le organizzazioni che vendono prodotti connessi nell'UE dovrebbero iniziare a prepararsi fin da ora. Gli obblighi di segnalazione CRA che entreranno in vigore nel settembre 2026 richiedono ai produttori di segnalare le vulnerabilità attivamente sfruttate entro 24 ore, il che comporta un impegno operativo significativo.
Il rilevamento di rete basato sull'intelligenza artificiale, il consolidamento del mercato e la correlazione dei segnali IT/IoT/OT definiscono il futuro della sicurezza IoT per le aziende moderne.
Il rilevamento delle minacce basato sull'intelligenza artificiale sta ridefinendo il modo in cui le organizzazioni proteggono gli ambienti IoT. I modelli di apprendimento automatico addestrati sui modelli di traffico IoT sono in grado di identificare i dispositivi compromessi più rapidamente rispetto ai sistemi basati su regole, mentre l'intelligenza artificiale generativa sta iniziando ad automatizzare i processi di risposta alle intrusioni. Entro il 2026, un rilevamento efficace delle minacce dovrà acquisire dati dai domini OT, IoT ed edge e correlarli con i segnali IT per ottenere una visibilità unificata.
Il consolidamento del mercato riflette l'importanza strategica della sicurezza dell'IoT. L'acquisizione di Armis da parte di ServiceNow per 7,75 miliardi di dollari nel 2025 è stata l'operazione più importante in un anno in cui le fusioni e acquisizioni nel settore della sicurezza informatica hanno superato complessivamente gli 84 miliardi di dollari. L'acquisizione di Nozomi Networks da parte di Mitsubishi Electric (circa 883 milioni di dollari) segnala ulteriormente che la sicurezza OT/IoT è diventata una priorità per i consigli di amministrazione.
L'approccio incentrato sulla rete sta guadagnando terreno come principale controllo di sicurezza dell'IoT. Le organizzazioni stanno investendo in funzionalità di rilevamento delle minacce comportamentali e di ricerca delle minacce che funzionano su dispositivi gestiti e non gestiti, trattando la rete come un sensore universale.
Vectra AI la sicurezza dell'IoT attraverso la lente del rilevamento basato sulla rete e Attack Signal Intelligence. Poiché i dispositivi IoT non possono eseguire endpoint , la rete diventa la fonte primaria di verità per identificare i dispositivi compromessi. La filosofia Vectra AI di presumere la compromissione, ovvero che gli hacker intelligenti riusciranno a entrare e che ciò che conta è individuarli rapidamente, si applica direttamente agli ambienti IoT, dove la superficie di attacco in espansione dei dispositivi non gestiti richiede una visibilità unificata.
Ciò significa correlare i segnali provenienti da ambienti locali, cloud, di identità e IoT/OT per individuare attacchi reali, non ulteriori avvisi. Quando una telecamera inizia a comunicare con un host esterno sconosciuto o un sensore inizia a scansionare sottoreti interne, il rilevamento e la risposta di rete identificano il comportamento e lo rendono prioritario per l'indagine, indipendentemente dal fatto che quel dispositivo possa eseguire un agente.
Il panorama della sicurezza dell'IoT continuerà a cambiare in modo significativo nei prossimi 12-24 mesi, spinto dalle scadenze normative, dall'evoluzione delle tecniche di attacco e dalla convergenza tecnologica.
L'applicazione delle normative entra nel vivo. Gli obblighi di segnalazione previsti dal Cyber Resilience Act dell'UE entreranno in vigore l'11 settembre 2026, imponendo ai produttori di segnalare entro 24 ore le vulnerabilità attivamente sfruttate nei prodotti connessi. Le organizzazioni che vendono o distribuiscono dispositivi IoT nell'UE dovrebbero verificare fin da ora i propri processi di divulgazione delle vulnerabilità. Negli Stati Uniti, il futuro del programma FCC Cyber Trust Mark rimane incerto dopo che UL Solutions si è ritirata dalla gestione nel dicembre 2025, ma il sostegno bipartisan del Congresso suggerisce che emergerà un sostituto.
La corsa agli armamenti nell'ambito dell'intelligenza artificiale accelera. Gli aggressori utilizzano l'intelligenza artificiale per la scansione automatizzata delle vulnerabilità, modelli DDoS adattivi e tecniche di evasione che si trasformano in tempo reale. I difensori rispondono con analisi comportamentali basate sull'intelligenza artificiale in grado di stabilire una linea di base per milioni di dispositivi IoT e rilevare anomalie alla velocità delle macchine. Il vantaggio andrà alle organizzazioni che implementano l'intelligenza artificiale in modo difensivo prima che gli aggressori la utilizzino in modo offensivo.
La convergenza IT/IoT/OT diventa realtà operativa. Il CISA CPG 2.0 ha formalizzato ciò che i team di sicurezza sanno da anni: IT, IoT e OT non possono essere protetti in modo isolato. Nei prossimi 12 mesi, ci si aspetta di vedere piattaforme di sicurezza unificate che correlano i segnali tra tutti e tre i domini, sostituendo i set di strumenti frammentati che creano punti ciechi ai confini dei domini. Le organizzazioni dovrebbero dare priorità agli investimenti in piattaforme che offrono visibilità cross-domain.
Il volume dei dispositivi continua a crescere. Con una previsione di oltre 25 miliardi di dispositivi IoT nel 2026, l'enorme volume di endpoint non gestiti metterà in difficoltà le organizzazioni che si affidano all'inventario manuale e alla sicurezza di un dispositivo alla volta. Il rilevamento automatico, la classificazione e il monitoraggio comportamentale passeranno dall'essere best practice a requisiti di base.
La sicurezza dell'IoT non è più una preoccupazione di nicchia, ma un requisito fondamentale per le aziende. Con 21,1 miliardi di dispositivi connessi nel 2025, minacce in aumento da botnet da oltre 20 Tbps a malware della catena di approvvigionamento malware milioni di dispositivi e scadenze normative che si avvicinano, le organizzazioni che rimandano gli investimenti nella sicurezza dell'IoT stanno accettando rischi che potrebbero non essere in grado di assorbire.
La strada da seguire è chiara. Creare un inventario completo dei dispositivi. Separare i dispositivi IoT dai sistemi critici. Implementare un sistema di rilevamento basato sulla rete per coprire i dispositivi che non sono in grado di proteggersi da soli. Prepararsi ai requisiti CRA dell'UE e CPG 2.0 della CISA già in calendario. E adottare una mentalità che presupponga la compromissione, perché in un ambiente con centinaia di migliaia di dispositivi non gestiti, trovare rapidamente l'autore dell'attacco è più importante che sperare che non riesca mai a entrare.
Scoprite come l'approccio Vectra AI al rilevamento e alla risposta di rete fornisce una visibilità unificata su ambienti IoT, OT, cloud e di identità, trasformando la rete in un sensore che endpoint non potranno mai essere.
La sicurezza IoT è l'insieme di pratiche, tecnologie e politiche progettate per proteggere i dispositivi Internet of Things e le reti a cui sono collegati dalle minacce informatiche. Comprende il rafforzamento dei dispositivi, il monitoraggio della rete, la crittografia dei dati e il controllo degli accessi per i dispositivi connessi che spesso non dispongono delle risorse informatiche necessarie per eseguire i tradizionali software di sicurezza. Con IoT Analytics che prevede 21,1 miliardi di dispositivi connessi nel 2025, la sicurezza IoT è diventata una preoccupazione fondamentale per le aziende. I tre pilastri della sicurezza IoT - sicurezza dei dispositivi, sicurezza della rete e sicurezza cloud- lavorano insieme per proteggere i dispositivi da compromissioni iniziali, rilevare le minacce in transito e proteggere i dati generati da questi dispositivi. Le organizzazioni che trascurano uno qualsiasi di questi pilastri creano lacune che gli aggressori sfruttano regolarmente.
Le minacce IoT più critiche nel 2026 includono il reclutamento di botnet (la botnet Aisuru/TurboMirai ha raggiunto una capacità DDoS di oltre 20 Tbps), la compromissione della catena di approvvigionamento (BadBox 2.0 ha pre-infettato più di 10 milioni di dispositivi), lo sfruttamento delle credenziali predefinite, le vulnerabilità del firmware e il movimento laterale dalle reti IoT alle reti IT. Le minacce emergenti includono la ricognizione automatizzata basata sull'intelligenza artificiale, campagne sponsorizzate dallo Stato come IOCONTROL che prendono di mira infrastrutture critiche e varianti Mirai di nuova generazione come Eleven11bot e Kimwolf. L'aumento del 46% degli attacchi ransomware contro i sistemi OT (Nozomi Networks, 2025) segnala anche un rischio crescente al confine tra IoT e OT.
Iniziate con un inventario completo dei dispositivi per identificare tutti i dispositivi connessi alla vostra rete. Quindi implementate la segmentazione della rete per isolare i dispositivi IoT in VLAN dedicate. Modificate immediatamente tutte le credenziali predefinite: l'OWASP IoT Top 10 classifica questa operazione come la vulnerabilità principale. Implementate un monitoraggio basato sulla rete, come NDR, per rilevare le minacce sui dispositivi che non possono eseguire agenti. Automatizzate gli aggiornamenti del firmware per chiudere le vulnerabilità note. Criptare tutti i dati in transito con TLS 1.2 o versioni successive. Applicare zero trust verificando ogni dispositivo e connessione. Infine, pianificare la gestione completa del ciclo di vita dei dispositivi, dall'approvvigionamento alla dismissione, seguendo le linee guida NIST SP 800-213 e CISA CPG 2.0.
La sicurezza IoT si concentra sulla protezione dei dispositivi connessi come telecamere, sensori ed elettrodomestici intelligenti, dando tipicamente priorità alla riservatezza e all'integrità dei dati (la tradizionale triade CIA). La sicurezza OT protegge i sistemi di controllo industriale - SCADA, PLC e sistemi di controllo distribuito - dove la sicurezza fisica e la disponibilità sono fondamentali, riorganizzando le priorità in Disponibilità, Integrità, Riservatezza (AIC). L'IoT industriale (IIoT) collega entrambi i domini, implementando sensori e controller connessi in contesti industriali. Il CISA CPG 2.0, pubblicato l'11 dicembre 2025, ha unificato per la prima volta gli obiettivi di sicurezza IT, IoT e OT in sei funzioni, riflettendo la convergenza operativa che le organizzazioni moderne devono gestire.
I dispositivi IoT sono vulnerabili per cinque ragioni strutturali. Spesso vengono forniti con password predefinite o hardcoded che gli utenti non modificano mai. Utilizzano sistemi operativi proprietari o integrati che non possono ospitare agenti di sicurezza. Ricevono aggiornamenti firmware poco frequenti, con il 60% delle violazioni IoT riconducibili a firmware non aggiornato (2025, deepstrike.io). Hanno cicli di vita lunghi, a volte da 10 a 25 anni, senza patch di sicurezza pianificate per la fine del supporto. Inoltre, operano in un ecosistema eterogeneo con migliaia di produttori e standard di sicurezza incoerenti, rendendo estremamente difficile la gestione centralizzata. Questi vincoli significano che il monitoraggio a livello di rete è spesso l'unico modo praticabile per rilevare quando un dispositivo IoT è stato compromesso.
Le organizzazioni dovrebbero monitorare sei quadri normativi chiave. Il Cyber Resilience Act dell'UE prevede obblighi di segnalazione che entreranno in vigore l'11 settembre 2026, mentre gli obblighi principali seguiranno nel dicembre 2027. Il PSTI Act del Regno Unito è già applicabile e vieta le password predefinite sui dispositivi IoT di consumo. Il CISA CPG 2.0, pubblicato nel dicembre 2025, fornisce obiettivi di sicurezza IT/IoT/OT unificati per le infrastrutture critiche degli Stati Uniti. Il NIST SP 800-213 offre controlli di sicurezza specifici per l'IoT. Lo standard IEC 62443 copre i sistemi di automazione e controllo industriale. Il FCC U.S. Cyber Trust Mark, un programma di etichettatura volontario, è in attesa di un nuovo amministratore dopo che UL Solutions si è ritirata nel dicembre 2025.
La gestione dei dispositivi IoT comprende i processi e gli strumenti per il provisioning, il monitoraggio, l'aggiornamento e la dismissione dei dispositivi connessi durante il loro intero ciclo di vita. Include il rilevamento automatico delle risorse per mantenere un inventario in tempo reale di ogni dispositivo connesso, la gestione degli aggiornamenti del firmware per correggere le vulnerabilità note, la gestione della configurazione per applicare le linee guida di sicurezza, il controllo degli accessi per limitare le comunicazioni dei dispositivi ai servizi autorizzati e il monitoraggio dello stato di salute per rilevare i dispositivi danneggiati o compromessi. Una gestione efficace dei dispositivi è fondamentale per la sicurezza dell'IoT, perché le organizzazioni non possono proteggere dispositivi di cui non sono a conoscenza. Sia il NIST che il CISA sottolineano l'importanza dell'inventario dei dispositivi come primo passo in qualsiasi programma di sicurezza IoT, e il framework di best practice in otto fasi sopra descritto inizia con questa funzionalità per una buona ragione.