Dentro la ‘città laboratorio’ dell’FBI: perché la cybersicurezza ora passa da semafori, ospedali e centrali

Sembra un videogioco, ma è addestramento reale: l’FBI ha costruito una cittadina di circa 2.000 m² a Huntsville (Alabama) per simulare cyberattacchi su infrastrutture vere. Un segnale forte: la sicurezza non è più solo server e password, ma strade, utility e vite quotidiane.

Una città vera, in miniatura: cosa ha costruito l’FBI

Case arredate, un hotel, una stazione di servizio con mini-market, un tribunale, un ospedale e perfino una centrale elettrica. Strade, incroci, semafori e reti locali che collegano tutto. Non è una scenografia: è una replica funzionale di una piccola città americana, progettata per addestrare forze dell’ordine e partner pubblici-privati a gestire attacchi informatici nel mondo fisico.

Il complesso, all’interno del campus dell’FBI a Huntsville (Alabama), nasce per portare le esercitazioni fuori dai laboratori e dentro i sistemi che usiamo ogni giorno. Secondo le informazioni condivise dall’agenzia, sono già stati formati oltre 1.400 professionisti tra personale federale, forze locali e partner. L’obiettivo non è “giocare” alla guerra digitale, ma capire come un malware o un accesso non autorizzato possano bloccare un pronto soccorso, mandare in tilt un crocevia o interrompere l’erogazione di energia.

Il contesto non è rassicurante: l’ultimo report dell’FBI, basato su oltre un milione di denunce, stima perdite per 20,9 miliardi di dollari legate a crimini informatici negli Stati Uniti, con un +26% anno su anno. Numeri che spiegano perché si investa in un’infrastruttura di training così concreta e pervasiva.

Perché una replica fisica serve davvero alla cybersicurezza

Per anni abbiamo pensato alla sicurezza come a un problema “IT”: email, credenziali, data center. Oggi il perimetro è cambiato. La superficie d’attacco include sistemi OT (Operational Technology) e ICS (Industrial Control Systems): semafori intelligenti, sensori in ospedale, PLC nelle centrali, pompe dell’acqua, colonnine di ricarica, POS nei negozi.

Allenarsi nella replica di una città permette di:

  • Testare come un attacco si propaga tra rete aziendale e sistemi fisici (IT–OT convergence).
  • Verificare procedure di risposta con polizia, tecnici utility, personale sanitario e operatori sul campo.
  • Misurare impatti reali su sicurezza pubblica, tempi di ripristino e comunicazione alla cittadinanza.
  • Ridurre il gap tra teoria e pratica: non solo playbook, ma interventi su quadri elettrici, valvole, apparati di rete e software SCADA.

Come riporta anche TechCrunch, l’idea è simulare il mondo reale, non un laboratorio sterilizzato. E questo cambia tutto: si allena la resilienza dei sistemi, ma anche il coordinamento tra attori che raramente fanno esercitazioni insieme.

Dalla password al semaforo: scenari di attacco sempre più concreti

Oggi un attacco non “rompe Internet”: può spegnere un pezzo di città. Ecco alcuni scenari che una struttura del genere consente di provare in sicurezza:

  • Ransomware in ospedale: blocco dei sistemi clinici, dirottamento delle ambulanze, priorità di ripristino e comunicazione ai pazienti.
  • Manipolazione del traffico: semafori desincronizzati, congestione in punti critici, gestione dell’ordine pubblico e fallback manuale.
  • Disservizi energetici: attacchi a SCADA, micro-interruzioni mirate, isolamento di sezioni e ripartenza sicura.
  • Supply chain fisico-digitale: compromissione dei sistemi del mini-market o della stazione di servizio e lateral movement verso reti cittadine.

La chiave è vedere cosa succede “tra i bit e i bulloni”: quanto è semplice passare da un phishing a un semaforo in tilt. E quanto tempo serve per tornare operativi senza creare danni collaterali.

Un segnale geopolitico e industriale

Nello sfondo ci sono le tensioni con gruppi criminali internazionali. Non stupisce che gli Stati Uniti accelerino su addestramento e autosufficienza operativa. Il messaggio è chiaro: servono competenze ibride, capaci di tenere insieme software, rete e hardware sul territorio.

È lo stesso filone che vede grandi player tech investire nella formazione di profili molto “fisici” per l’infrastruttura digitale e di AI. Si passa dall’idea di sicurezza come funzione IT a una disciplina industriale che coinvolge elettricisti specializzati, tecnici di campo, operatori di rete e SOC analisti allo stesso tavolo.

E l’Europa è pronta?

Domanda scomoda, ma necessaria. In Italia ed Europa il tema OT/ICS spesso resta in fondo alla to-do list, schiacciato da compliance e budget. Eppure la superficie d’attacco è la stessa: Comuni, sanità, utility locali e PMI manifatturiere dipendono da sistemi connessi, spesso ereditati e poco segmentati.

Cosa possono fare subito aziende e PA

  • Inventario OT reale: mappa di asset, firmware, protocolli e dipendenze (non solo CMDB IT).
  • Segmentazione di rete: separare IT/OT con VLAN, firewall industriali e accessi minimi.
  • Backup e ripristino testati: copie offline, runbook per sistemi OT e drill periodici.
  • Patch e hardening: finestre di manutenzione dedicate, compensating controls per legacy.
  • Monitoraggio continuo: telemetria su ICS, rilevazione anomalie, integrazione con il SOC.
  • Esercitazioni congiunte: tabletop ed esercizi pratici con tecnici, sicurezza, facility e – dove serve – protezione civile.
  • Gestione fornitori: requisiti di sicurezza per integratori e manutentori con accesso remoto.

Se vuoi ricevere ogni mattina la puntata e tutte le fonti utili per approfondire, iscriviti alla newsletter de Il Caffettino.

👉 Per scoprire tutti i dettagli e l’opinione personale di Mario Moroni, ascolta la puntata completa su Spotify.