SER TEC S.r.l.

  • +39 051 636 0247
  • info@sertec.it

Reti IoT mobili: guida tecnica all’implementazione sicuraReti IoT mobili: guida all’implementazione (LTE, LTE-M, NB-IoT, 5G) con focus su sicurezza e gestione operativaReti IoT mobili: guida tecnica all’implementazione sicura

Le reti IoT mobili non sono “un Wi-Fi senza fili”. Sono, sempre più spesso, l’infrastruttura invisibile che permette di mantenere operativi dispositivi e impianti quando la connettività cablata non esiste, non è affidabile, oppure non è economicamente sostenibile da realizzare. Parliamo di allarmi e TVCC in cantieri temporanei, telecontrollo di impianti fotovoltaici in aree isolate, sensoristica su mezzi in movimento, smart metering, monitoraggi ambientali, macchine industriali mobili, logistica e flotte.

SER TEC nasce e lavora proprio su questa intersezione tra telecomunicazioni, networking e sistemi: dalla consulenza tecnica alla messa in opera e conduzione di impianti e reti, con un’impostazione orientata ad affidabilità e continuità di servizio. 

In questa guida troverai un approccio pratico e “da cantiere” per progettare e implementare reti IoT mobili robuste, sicure e gestibili, evitando i classici errori che trasformano un progetto IoT in un insieme di SIM “che ogni tanto non vanno”, tunnel VPN instabili e dispositivi irraggiungibili.

Perché “mobile IoT” è diverso da “Internet su SIM”

Quando progetti connettività mobile per IoT, i requisiti cambiano in modo sostanziale rispetto a un uso “consumer”:

  1. Ciclo di vita pluriennale: un sensore o un gateway può restare installato 5–10 anni. Devi prevedere dismissioni tecnologiche (es. spegnimento 3G), ricambi, aggiornamenti firmware e gestione contratti.
  2. Affidabilità prima della velocità: spesso servono pochi kilobyte, ma devono arrivare sempre (telemetria, eventi, allarmi).
  3. Controllo e governabilità: servono strumenti per inventario, provisioning, monitoraggio KPI, soglie di traffico, alerting, log, gestione credenziali.
  4. Sicurezza strutturale: non basta “mettere una VPN”, serve una catena completa di identità, cifratura, segmentazione e hardening.
  5. Gestione IP e raggiungibilità: su rete mobile entrano in gioco NAT/CGNAT, IP dinamici, APN pubblici/privati, routing e policy dell’operatore.

Il punto chiave: la connettività mobile per IoT va progettata come servizio continuo (con governance e processi), non come componente accessoria.

Tecnologie cellulari per IoT: cosa scegliere e perché

Nel mondo IoT mobile convivono più tecnologie; sceglierne una “per abitudine” è uno degli errori più costosi.

2G/GSM: “vecchio”, ma spesso ancora presente

Il 2G è ancora usato in telemetria e applicazioni a bassissimo throughput. Tuttavia va trattato con prudenza: in molte aree geografiche è oggetto di piani di sunset o riduzione progressiva. Se il tuo progetto deve durare anni, pretendi dal fornitore/operatore un’indicazione formale di disponibilità e roadmap.

3G/UMTS: in dismissione (attenzione ai progetti legacy)

In Italia e in Europa la rete 3G è stata progressivamente spenta o è in fase di spegnimento, a favore di 4G/5G. TIM, ad esempio, ha comunicazioni dedicate sullo spegnimento della rete 3G e sulle tempistiche per area. 
Anche sul piano regolatorio, il tema della dismissione UMTS compare in atti AGCOM relativi a comunicazioni e impatti sugli utenti. 
Conclusione operativa: non progettare nuovo IoT su 3G; se hai installato 3G, pianifica migrazione.

4G/LTE: lo standard “general purpose” per gateway e router

LTE resta la scelta più comune per:

  • gateway con traffico medio/alto,
  • backup WAN,
  • teleassistenza,
  • scenari dove serve stabilità e copertura ampia,
  • applicazioni con mobilità reale (mezzi, flotte).

LTE-M (Cat-M1): LPWA “mobile-friendly”

LTE-M è una tecnologia LPWA progettata per IoT, con complessità ridotta e copertura estesa (dipende da rete e banda). È indicata quando ti servono:

  • consumi inferiori rispetto a LTE tradizionale,
  • mobilità (handover) più adatta di NB-IoT,
  • trasmissioni periodiche con payload contenuto.

GSMA la descrive come tecnologia LPWA per IoT che riusa l’infrastruttura LTE esistente.

NB-IoT: LPWA “deep coverage”, payload ridotto

NB-IoT (Narrowband IoT) è pensata per dispositivi con banda minima e lunga durata batteria, con focus su copertura e capacità, adatta a sensori stazionari. GSMA evidenzia che NB-IoT è standardizzata da 3GPP come tecnologia LPWA per abilitare nuovi dispositivi e servizi IoT. 

5G: non è “sempre necessario”, ma abilita scenari specifici

Il 5G è utile quando ti servono:

  • maggiore capacità e densità,
  • latenze più basse (in scenari particolari),
  • profili evoluti (edge, private network, slicing dove disponibili).

Per molti casi IoT “classici”, un buon LTE (o LPWA) progettato bene è più che sufficiente. Il 5G diventa interessante quando il progetto è parte di un ecosistema industriale più ampio o richiede requisiti stringenti.

Nota strategica: NB-IoT e LTE-M “non spariscono” con il 5G

Operatori e vendor sostengono che NB-IoT e LTE-M continuano a evolvere nel contesto 5G, proteggendo investimenti LPWA. 

Tabella decisionale rapida (da usare in fase di assessment)

Usa questa logica come “prima scrematura”, poi conferma con test radio e requisiti applicativi.

  • Telemetria minima, batteria, sensore stazionario, indoor difficile → NB-IoT
  • Sensore con mobilità / handover, payload medio-basso, batteria ma non estrema → LTE-M
  • Gateway multi-device, router industriale, VPN, teleassistenza, throughput medio/alto → LTE
  • Video, edge, densità, evoluzione industriale (dove supportato) → 5G
  • Legacy vecchi impianti → pianificare migrazione (evitare 3G)

SIM M2M/IoT ed eSIM: la base “amministrativa” che decide se scalerai oppure no

Una rete IoT mobile non fallisce solo per mancanza di segnale. Fallisce spesso perché:

  • non esiste inventario SIM e device,
  • i piani dati non sono coerenti col traffico reale,
  • l’operatore blocca IP statici o inbound,
  • non hai strumenti per cambiare profilo o gestire roaming.

SIM M2M/IoT: cosa deve avere (non opzionale)

  • Lunga disponibilità e stabilità contrattuale
  • Gestione centralizzata (portale o API)
  • Policy di roaming controllate
  • Soglie e alert su consumo
  • Possibilità APN dedicato / privato
  • Opzione IP statico (se necessario)
  • Supporto VPN / routing enterprise

eSIM per IoT: quando ti cambia la vita

Per flotte e dispositivi distribuiti, l’eSIM abilita provisioning remoto e riduce la dipendenza logistica dalla sostituzione fisica delle SIM. GSMA mantiene il riferimento alle specifiche e allo stato di pubblicazione delle eSIM per consumer e IoT. 

Regola pratica: se un dispositivo deve vivere anni in campo e il costo dell’uscita tecnica è alto, l’eSIM diventa una leva economica, non un vezzo tecnologico.

APN, indirizzamento e raggiungibilità: il cuore “invisibile” della rete IoT mobile

Molti impianti IoT “funzionano” finché non serve fare manutenzione remota. Poi scopri che:

  • il dispositivo è dietro CGNAT,
  • non è raggiungibile inbound,
  • l’IP cambia,
  • le porte sono filtrate,
  • il routing è imprevedibile.

APN pubblico: veloce, ma poco governabile

  • IP spesso dinamico
  • NAT/CGNAT frequenti
  • Inbound quasi sempre problematico
  • Segmentazione “logica” debole

Va bene per contesti non critici, o per modelli “device → cloud” dove non ti serve accesso diretto.

APN privato: il passo enterprise

  • routing controllato,
  • isolamento logico,
  • più facilità di integrazione con VPN e policy,
  • spesso prerequisito per governance seria.

IP statico su mobile: serve davvero?

Serve quando:

  • devi raggiungere il device direttamente (teleassistenza, SCADA legacy),
  • hai integrazioni on-prem che non possono “chiamare fuori”.

Ma non sempre è la scelta migliore: molte architetture moderne funzionano con outbound sicuro (TLS/VPN) e canali di controllo, evitando esposizione diretta.

Sicurezza: “IoT mobile” significa superficie d’attacco più ampia

Mettere dispositivi su rete mobile non li rende automaticamente sicuri. Anzi: li rende spesso più “esposti” perché:

  • sono remoti,
  • difficili da aggiornare,
  • spesso installati in ambienti ostili,
  • gestiti da più attori (installatore, IT, vendor, operatore).

Principi minimi (non negoziabili)

  1. Identità del dispositivo: ogni device deve avere credenziali uniche, certificati o chiavi per autenticazione forte.
  2. Cifratura end-to-end: TLS per applicazione (MQTT/HTTPS) e/o VPN per trasporto.
  3. Segmentazione: separa IoT da rete IT “office” e da OT, limita lateral movement.
  4. Hardening: disabilita servizi inutili, credenziali di default, accessi amministrativi non necessari.
  5. Logging e audit: senza log, non fai incident response.

Standard e baseline utili (per impostare “security by design”)

Un riferimento noto per requisiti di sicurezza “baseline” su IoT consumer è ETSI EN 303 645, che raccoglie buone pratiche e requisiti di alto livello per mitigare carenze comuni (es. password deboli) e supportare security by design. 
Anche se molte soluzioni IoT mobili sono industriali/enterprise, quel documento è utile come checklist di principi: credenziali uniche, disclosure vulnerabilità, aggiornabilità, protezione dati.

VPN: scelta protocollo e modello operativo

Nel mondo SER TEC la VPN non è “un’opzione”: è spesso la differenza tra impianto gestibile e impianto che richiede uscite continue.

  • IPsec: solido, standard, spesso supportato nativamente su apparati industriali.
  • OpenVPN: molto diffuso, flessibile, ma va dimensionato correttamente (CPU).
  • WireGuard: moderno, performance ottime, configurazione pulita; ottimo per tunnel stabili e leggeri.

Errore tipico: scegliere la VPN “più famosa” senza valutare CPU del router, MTU, keepalive, roaming, e gestione certificati.

Architetture consigliate (tre pattern che funzionano davvero)

Qui sotto trovi tre architetture “ripetibili” che riducono rischi e costi operativi.

Pattern A — Device → piattaforma (cloud o on-prem) via TLS (senza inbound)

  • Il device apre connessioni outbound verso broker/endpoint.
  • Niente porte esposte inbound.
  • Ottimo per sensori e fleet scalabili.

Quando funziona bene: telemetria, smart metering, sensori ambientali, monitoraggi.

Pattern B — Site gateway LTE/5G + VPN verso HQ (site-to-site)

  • Router industriale in campo.
  • LAN locale IoT/OT separata.
  • VPN site-to-site verso sede o datacenter.
  • Accesso remoto controllato e auditabile.

Quando funziona bene: telecontrollo industriale, impianti energetici, siti remoti con più device.

Pattern C — Dual-SIM + failover multi-uplink (LTE + Ethernet/Wi-Fi) + buffer locale

  • Failover automatico.
  • Store-and-forward su gateway (cache locale).
  • Continuità anche in condizioni radio instabili.

Quando funziona bene: applicazioni critiche (allarmi, continuità servizio), cantieri, infrastrutture temporanee.

Progettazione radio: “copertura” non è una percentuale, è un progetto

In ambito IoT mobile, la frase “qui prende” non è un requisito.

KPI radio che devi conoscere (e misurare)

  • RSRP/RSRQ (LTE/5G): potenza e qualità del segnale.
  • SINR: rapporto segnale/rumore/interferenza.
  • RSSI (più generico): meno “diagnostico” da solo.
  • Latenza e jitter: non solo throughput.
  • Eventi di disconnessione: frequenza, durata, cause.

Antenne: il componente più sottovalutato

Una buona antenna:

  • migliora stabilità,
  • riduce ritrasmissioni,
  • abbassa consumo energetico (meno tentativi),
  • aumenta disponibilità reale.

Valuta:

  • antenne indoor vs outdoor,
  • guadagno e diagramma,
  • lunghezza e qualità cavo (perdita),
  • connettori e protezioni,
  • messa a terra e protezione fulmini (siti esterni).

Regola pratica: se l’impianto è “critico”, l’antenna non è accessorio; è parte dell’ingegneria.

Protocolli applicativi: scegli in base a latenza, payload, battery e governance

Lato applicazione, il protocollo definisce:

  • overhead,
  • resilienza a link instabili,
  • sicurezza,
  • facilità di debugging.

MQTT (e MQTT over TLS)

Ottimo per telemetria publish/subscribe, con broker centralizzato e gestione scalabile. Richiede governance su:

  • topic naming,
  • ACL,
  • certificati,
  • retention.

HTTPS/REST

Semplice e universale, ma può essere più “pesante” su device piccoli e battery. È spesso ideale su gateway.

CoAP / LwM2M (per device constrained)

Scelte valide per sensori a bassissima potenza e per device management, dove lo stack è ottimizzato.

Errore tipico: usare HTTP “perché lo conosco”, poi scoprire che i costi energetici e i retry aumentano, e la rete si comporta male su link instabile.

Gestione operativa: il punto in cui i progetti IoT vincono o muoiono

La differenza tra demo e produzione è sempre la stessa: operations.

Cosa devi avere dal giorno 1

  • Inventario device/SIM (seriale, ICCID/eID, firmware, posizione, owner)
  • Monitoraggio KPI radio + uptime
  • Alert su soglie traffico (spike = possibili compromissioni o bug)
  • Log centralizzati (gateway e piattaforma)
  • Processo OTA (con rollback)
  • Policy credenziali (rotazione, revoca, scadenze)

Gestione “parco SIM” (scalabilità)

Se superi 20–30 SIM senza piattaforma, inizi a perdere controllo. A 200 SIM, diventa ingestibile senza:

  • portale di gestione,
  • profili,
  • gruppi,
  • alerting,
  • report.

Resilienza: continuità di servizio in contesti reali (cantieri, siti remoti, mezzi in movimento)

Le reti IoT mobili sono soggette a variabilità. Progetta resilienza come requisito, non come patch.

Strategie efficaci

  1. Dual-SIM / multi-operatore: riduce dipendenza da singolo carrier e copertura locale.
  2. Failover automatico: su gateway, con health-check reali (non solo “link up”).
  3. Buffer locale: store-and-forward per non perdere dati durante down.
  4. Watchdog e auto-recovery: reboot controllati, fallback profilo, log delle cause.
  5. UPS / alimentazione: spesso il problema non è la rete, è l’energia.

Casi d’uso: esempi concreti (e cosa può andare storto)

1) Allarme e videosorveglianza (backup o primary)

Obiettivo: mantenere telemetria e allarmi sempre operativi, anche senza rete locale.
Architettura tipica: gateway LTE + VPN site-to-site + VLAN di separazione.
Criticità tipiche:

  • NAT e porte: se vuoi accesso diretto, serve APN/IP o modello alternativo.
  • Consumo dati video: serve policy (event-based, bitrate, retention).
  • Continuità: dual-SIM consigliata.

2) Smart metering

Obiettivo: invio letture periodiche (piccoli payload) e gestione remota.
Scelta tipica: NB-IoT o LTE-M (dipende da copertura e mobilità).
Criticità:

  • indoor/armadi metallici: serve site survey e spesso antenna esterna.
  • batteria: attenzione a retry e sessioni troppo frequenti.

3) Fotovoltaico/eolico in area isolata

Obiettivo: telecontrollo inverter, diagnostica, allarmi.
Scelta tipica: LTE con APN/VPN (gateway).
Criticità:

  • fulminazioni e disturbi: protezioni e messa a terra.
  • manutenzione: log e accesso remoto affidabile riducono uscite.

4) Macchine mobili e telecontrollo industriale

Obiettivo: monitorare parametri, abilitare assistenza, aggiornare configurazioni.
Scelta tipica: LTE (o 5G dove serve capacità/latency) con VPN e segmentazione.
Criticità:

  • cybersecurity: credenziali, firmware, accesso remoto controllato.
  • handover e mobilità: LTE-M può essere utile su device specifici.

5) Trasporti, logistica e flotte

Obiettivo: geofencing, telemetria, diagnostica predittiva.
Scelta tipica: LTE con eSIM e profili gestiti; architettura cloud o ibrida.
Criticità:

  • roaming: policy e costi.
  • scalabilità: provisioning e inventario obbligatori.

Sfide e criticità: checklist “senza sconti”

Copertura e roaming

  • non basta “una tacca”;
  • serve misurare KPI e testare in orari diversi;
  • roaming controllato, altrimenti costi e instabilità.

IP e accessibilità

  • CGNAT è comune;
  • IP statico non sempre disponibile o sostenibile;
  • preferire modelli outbound sicuri dove possibile.

Consumo energetico

  • i retry “uccidono” le batterie;
  • ottimizzare intervalli, payload, ack, e logica di ritrasmissione.

Sicurezza e aggiornamenti

  • OTA con rollback;
  • gestione CVE e firmware;
  • hardening del gateway.

Scalabilità e gestione centralizzata

  • oltre una certa soglia, senza piattaforma “SIM/device management” esplode il costo operativo.

Costi e sostenibilità

  • costo SIM non è solo €/mese: includi uscite, downtime, incidenti, manutenzione.

Roadmap di implementazione (metodo SER TEC “dalla teoria al campo”)

Fase 1 — Assessment (tecnico + operativo)

  • requisiti (payload, latenza, uptime, sicurezza)
  • contesto (indoor/outdoor, energia, accesso fisico)
  • vincoli (compliance, policy IT/OT)

Fase 2 — Site survey e PoC

  • test KPI radio con strumenti e log
  • prova antenna e posizionamenti
  • test APN/VPN e gestione remota

Fase 3 — Pilot controllato

  • 5–20 device con monitoraggio
  • alert soglie traffico e disconnessioni
  • validazione processi OTA, inventario, accessi

Fase 4 — Rollout

  • template configurazioni
  • provisioning automatizzato
  • runbook interventi e escalation

Fase 5 — Operations

  • report mensili KPI/uptime
  • patching e manutenzione
  • revisione periodica sicurezza
Attenzione: evitare nuove installazioni IoT su 3G/UMTS. Verifica roadmap di dismissione con l’operatore e pianifica migrazione a LTE / LTE-M / NB-IoT / 5G.

(Contesto dismissione 3G: comunicazioni TIM e riferimenti regolatori).

Checklist operativa (Lead magnet consigliato)

Questa sezione è pensata per diventare un PDF scaricabile in cambio di email.

Checklist “Go-Live” rete IoT mobile

  • Copertura misurata (RSRP/RSRQ/SINR) in punto installazione
  • Antenna dimensionata + perdite cavo calcolate + protezioni
  • SIM M2M/eSIM censita (ICCID/eID) e associata al device
  • APN definito (pubblico/privato) e policy concordate
  • Piano indirizzamento (incluso scenario CGNAT)
  • VPN funzionante e documentata (chiavi/certificati, rotazione)
  • Segmentazione (VLAN / firewall policy) applicata
  • Credenziali uniche e hardening (no default)
  • Monitoraggio KPI + alert disconnessioni + soglie traffico
  • Processo OTA (con rollback) testato su pilot
  • Runbook intervento e contatti escalation definiti

 “Vuoi la checklist in PDF e un confronto tecnico di 20 minuti sul tuo caso d’uso? Usa la pagina Contatti e chiedi ‘Checklist IoT mobile’.”

Template email (richiesta APN privato / IP statico / policy roaming)

Copia e incolla, poi adattala all’operatore.

Oggetto: Richiesta APN privato e opzioni indirizzamento per progetto IoT (M2M)

Testo:
Gentili,
stiamo avviando un progetto IoT M2M con dispositivi distribuiti sul territorio. Per garantire sicurezza e gestibilità richiediamo informazioni e offerta per:

  1. Attivazione APN privato (isolamento logico, routing controllato)
  2. Opzioni di indirizzamento: IP statico pubblico / IP statico su APN privato / alternative in caso di CGNAT
  3. Possibilità di VPN (IPsec) o integrazione con nostra infrastruttura (site-to-site)
  4. Policy roaming (domestico/internazionale) e multi-operatore (se disponibile)
  5. Strumenti di gestione SIM: portale/API, alert su soglie traffico, reportistica mensile
  6. SLA / disponibilità rete e canali di escalation per guasti

Chiediamo inoltre eventuali limitazioni su inbound/outbound, porte/filtri, e condizioni per applicazioni di teleassistenza.
Cordiali saluti,
[Firma]

FAQ

1) Serve sempre IP statico per IoT mobile?
No. Spesso è preferibile un modello outbound sicuro (TLS/VPN) senza esposizione inbound, riducendo rischio e complessità.

2) NB-IoT è sempre meglio per i sensori?
È ottimo per payload ridotti e copertura “profonda”, ma dipende da copertura reale e requisiti (mobilità, latenza, frequenza invio). 

3) LTE-M è adatto a dispositivi in movimento?
In molti casi sì, ed è progettato come LPWA per IoT. Va comunque verificata la disponibilità sulla rete locale. 

4) Il 5G è indispensabile?
Solo per scenari che richiedono capacità/densità/latency particolari. Per molti impianti, LTE ben progettato è più che sufficiente.

5) Perché il mio dispositivo “non è raggiungibile” da remoto?
Spesso per CGNAT e policy dell’operatore su APN pubblico. Si risolve con APN privato, VPN, o architetture outbound.

6) Dual-SIM conviene?
Conviene quando downtime e uscita tecnica costano più della ridondanza. In impianti critici è spesso una scelta razionale.

7) Come controllo i consumi dati in modo serio?
Con soglie per SIM/device, alert su spike, policy di compressione/payload e report periodici.

8) Qual è l’errore più comune?
Non progettare operations: senza inventario, monitoraggio e processi OTA, il progetto non scala.

9) Come gestire la sicurezza degli aggiornamenti?
OTA firmati, canale cifrato, controllo versioni, rollback, e gestione vulnerabilità.

10) Quale standard posso usare come baseline?
Per principi di sicurezza “baseline” su IoT è utile ETSI EN 303 645 (pur essendo focalizzato sul consumer). 

11) APN privato = rete privata?
È una segmentazione logica con routing controllato; non è la stessa cosa di una private 5G, ma spesso è sufficiente per governance enterprise.

12) In cantieri temporanei cosa conviene?
Gateway LTE con VPN + buffer locale + failover, e policy di energia (UPS).

13) Come misuro la qualità reale del segnale?
Con KPI LTE/5G (RSRP/RSRQ/SINR) e log su disconnessioni; non con “tacche”.

14) Posso fare IoT solo su cloud?
Sì, ma valuta sovranità del dato, continuità, e integrazioni. In molti casi un ibrido cloud + on-prem è ottimale.

15) Da dove partire se ho già impianti legacy (2G/3G)?
Assessment, verifica copertura e piani di dismissione, PoC di migrazione a LTE/LPWA.

CTA “a bottone” (Gutenberg)

Imposta un pulsante che punti alla pagina Contatti.

Testo bottone (consigliato): “Richiedi assessment IoT mobile (gratuito, 20 min)”
Sottotitolo: “Valutiamo copertura, architettura, APN/VPN e piano di gestione SIM”

Conclusione

Le reti IoT mobili sono una soluzione strategica quando devi connettere dispositivi intelligenti in contesti distribuiti, dinamici o privi di infrastrutture cablate. Ma per funzionare davvero devono essere progettate con mentalità enterprise: scelta tecnologica corretta (LTE/LTE-M/NB-IoT/5G), architettura APN/IP coerente, sicurezza end-to-end, e soprattutto gestione operativa.

Se vuoi trasformare il tuo progetto IoT da “funziona quasi sempre” a servizio affidabile, l’approccio giusto è partire da un assessment tecnico e da un pilot misurabile: copertura reale, KPI, VPN e processi.

Richiedi una consulenza tramite la pagina Contatti e indica: “Progetto IoT mobile – richiesta checklist e assessment”.