VNC esposti su Internet:
il rischio nascosto delle PMI manifatturiere

Cosa segnala il CSIRT Italia

Il 16 aprile 2026 il CSIRT Italia (Computer Security Incident Response Team istituito presso l’ACN, Agenzia per la Cybersicurezza Nazionale) ha pubblicato il bollettino BL01/260416 con criticità Alto (70/100). Il bollettino segnala un incremento di attività ostili — spesso riconducibili a gruppi hacktivisti come NoName057 — contro apparati SCADA, dispositivi IoT, sistemi industriali e console domestiche esposti su Internet tramite servizi VNC non adeguatamente protetti.

Il problema non è teorico. Servizi come Shodan e Censys mappano costantemente i VNC esposti sulla porta 5900/TCP (e su tutte le porte derivate 5800-5899): bastano pochi secondi a un attaccante per individuare la superficie esposta italiana e provare credenziali deboli, configurazioni «guest» o vulnerabilità note del protocollo RFB sottostante.

Perché il VNC su Internet è strutturalmente debole

Il VNC (Virtual Network Computing) nasce come strumento di accesso remoto a uno schermo condiviso. Il protocollo sottostante, RFB (Remote Frame Buffer), è stato progettato in un’epoca in cui il modello di minaccia era diverso. I problemi strutturali che lo rendono inadatto all’esposizione diretta su Internet sono noti e non risolvibili senza cambiare architettura:

• Cifratura debole o assente di default — molte implementazioni VNC, in configurazione standard, non cifrano il traffico in modo robusto: l’intercettazione passiva (Man-in-the-Middle) consente di leggere credenziali e contenuto della sessione.
• Password limitate a 8 caratteri — alcune varianti diffuse di VNC accettano solo password fino a 8 caratteri, vulnerabili a brute force in tempi accettabili per un attaccante moderno con risorse cloud.
• Modalità «guest» o «view only» configurate male — non è raro trovare VNC industriali con accesso senza credenziali, magari perché in fase di installazione il fornitore ha lasciato una configurazione provvisoria mai più rivista.
• Privilegi non granulari — chi entra, di norma, vede tutto e può fare tutto: non c’è il concetto di ruolo, autorizzazione su risorse specifiche o audit trail centralizzato delle azioni eseguite.

Perché le PMI manifatturiere italiane sono nel mirino

Le PMI manifatturiere italiane — molto presenti in Emilia-Romagna e nel territorio piacentino — sono particolarmente esposte per ragioni concrete. Gestiscono PLC, console di macchinari, sistemi SCADA e telecamere IP installati anni fa, quando la cybersecurity industriale non era un tema centrale. Per consentire l’assistenza remota di fornitori e manutentori — spesso esterni al perimetro aziendale — questi apparati vengono esposti direttamente su Internet con VNC, in molti casi senza VPN, senza MFA e senza un sistema di monitoraggio degli accessi.

Il risultato è una combinazione che gli attaccanti opportunistici — e i gruppi hacktivisti orientati a colpire l’industria italiana — trovano molto attraente: superficie di attacco diretta e mappata pubblicamente, conseguenze potenziali gravi (fermo produzione, manomissione di processi, esfiltrazione di parametri industriali), bassa visibilità interna nel momento in cui qualcuno sta provando a entrare.

Le tre alternative concrete al VNC esposto

Sostituire il VNC «nudo» su Internet non significa rinunciare all’accesso remoto: significa metterlo dentro un perimetro controllato. Tre architetture funzionano bene per le PMI italiane:

• 1VPN aziendale con MFA — l’accesso remoto si concentra in un unico punto controllato (gateway VPN), protetto da MFA. Il VNC resta interno, mai esposto direttamente. Soluzione semplice, adatta anche alle PMI piccole.
• 2Zero Trust Network Access (ZTNA) — invece di una VPN che dà accesso generico alla rete, ZTNA concede accesso alle singole risorse, autenticando ogni utente per ogni risorsa specifica, con verifica continua di identità e contesto. Particolarmente adatto per la gestione di accessi differenti tra fornitori, manutentori e dipendenti. Servizi di cybersecurity.
• 3Jump host (bastion) con MFA e audit trail — un solo server raggiungibile da Internet, indurito, da cui ci si collega ai sistemi industriali interni. Tutte le sessioni vengono registrate per audit e revisione successiva. Soluzione collaudata per ambienti che devono rispettare requisiti di conformità.

Tutte e tre, in più, vanno accompagnate da una segregazione di rete che separi l’IT tradizionale (uffici, gestionale, server) dall’OT (linea di produzione, PLC, SCADA, telecamere). È l’unico modo per evitare che un compromesso lato uffici si propaghi verso il capannone, o viceversa.

Da dove iniziare con AtWorkStudio

Il primo passo è sapere cosa hai effettivamente esposto. AtWorkStudio offre alle PMI un vulnerability assessment del perimetro esterno che, in poche ore, identifica tutti i servizi raggiungibili da Internet — VNC, RDP, console industriali, pannelli di amministrazione, console di backup — e ne valuta lo stato di sicurezza. Sulla base di quella mappa, costruiamo insieme una roadmap di rimozione degli accessi diretti, sostituzione con VPN/ZTNA/jump host e segregazione tra IT e OT.

Operiamo da Piacenza dal 2000 e conosciamo le dinamiche delle PMI manifatturiere del territorio. Per realtà nel piacentino, abbiamo una pagina dedicata — Cybersecurity a Piacenza — con il dettaglio dei servizi pensati per le aziende locali. Inoltre, gli interventi di modernizzazione dell’accesso remoto possono rientrare tra le spese ammissibili del voucher MIMIT cloud e cybersecurity per le PMI. Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, qualificati ACN per servizi cloud SaaS, membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT.