Backup aziendale e disaster recovery: la guida 2021

Backup aziendale e disaster recovery sono due pilastri della continuità operativa che, troppo spesso, vengono confusi o sottovalutati nelle PMI italiane. Nel 2021, con l’esplosione del lavoro ibrido, l’aumento degli attacchi ransomware e l’accelerazione del cloud, una strategia solida di protezione dei dati non è più un’opzione: è un requisito di sopravvivenza. Questa guida spiega in modo concreto cosa sono RPO e RTO, come applicare la regola 3-2-1, quali piattaforme scegliere tra Veeam, Acronis, Rubrik, Cohesity, AWS Backup e Aruba Cloud Backup, come strutturare un Disaster Recovery Plan conforme a ISO 22301 e quali errori evitare. Ti accompagniamo passo passo, con esempi reali e costi indicativi, per arrivare a un piano che protegge davvero il tuo business.

Backup e disaster recovery: la differenza che pochi conoscono

La prima fonte di confusione è semantica. Il backup è la copia di sicurezza dei dati: file, database, configurazioni, immagini di sistema. Serve a recuperare informazioni in caso di cancellazione accidentale, corruzione o cifratura da ransomware. Il disaster recovery, invece, è l’insieme di processi, infrastrutture e procedure che permettono di rimettere in funzione i servizi IT dopo un evento disastroso: incendio, alluvione, attacco informatico esteso, guasto hardware grave del data center.

In altre parole: il backup è il punto di partenza, il disaster recovery è la catena completa che porta dai dati salvati al servizio nuovamente operativo. Avere backup senza piano di disaster recovery significa avere “la chiave dell’auto, ma non l’auto”. Avere un piano di DR senza backup affidabili significa “avere l’auto, ma senza carburante”.

La business continuity è il livello più alto: comprende anche aspetti non IT (sedi alternative, comunicazione di crisi, supply chain, personale chiave) ed è normata dallo standard ISO 22301. Le PMI italiane di solito si fermano al backup e iniziano il DR solo dopo aver subito un incidente grave: un approccio che la storia recente sconsiglia.

La regola 3-2-1 del backup: il minimo non negoziabile

La regola 3-2-1, formalizzata dal fotografo Peter Krogh ma adottata dall’industria IT, è il punto di partenza di ogni strategia seria:

• 3 copie dei dati (l’originale + 2 backup);
• 2 supporti diversi (es. SSD interno + NAS, oppure disco + tape, oppure on-premise + cloud);
• 1 copia offsite, in un luogo geograficamente separato dalla produzione.

Nel 2021 molti vendor hanno esteso la regola a 3-2-1-1-0: 1 copia offline (air-gapped, immune da ransomware) e 0 errori verificati nei test di restore. L’air-gap è diventato cruciale perché i ransomware moderni (Conti, REvil, LockBit) cercano attivamente i backup di rete e li cifrano per impedire il recupero senza pagare il riscatto.

Esempio pratico per una PMI italiana di 30 dipendenti: copia primaria su server NAS in sede + replica notturna su Aruba Cloud Backup (offsite) + snapshot settimanale su disco esterno scollegato (air-gap). Costo indicativo: 80-150€/mese per circa 2 TB di dati protetti, con RPO di 24 ore e RTO di 4-8 ore.

RPO e RTO: le due metriche che decidono la sopravvivenza

RPO (Recovery Point Objective) e RTO (Recovery Time Objective) sono le due metriche fondamentali del disaster recovery e della business continuity. Spesso fraintese, sono in realtà molto semplici.

RPO indica quanti dati puoi permetterti di perdere, misurato in tempo. Se il backup gira ogni notte alle 23:00 e un disastro avviene alle 17:00 del giorno dopo, hai perso 18 ore di dati: il tuo RPO effettivo è di 24 ore. RPO basso = backup frequenti = costi più alti.

RTO indica quanto tempo ci metti a tornare operativo dopo il disastro. Se il ripristino completo richiede 6 ore, il tuo RTO è di 6 ore. RTO basso = infrastruttura ridondante e procedure rodate = costi molto più alti.

I due valori vanno definiti per ogni servizio critico, non in modo uniforme. Esempio per una PMI manifatturiera:

• Gestionale ERP: RPO 1 ora, RTO 2 ore (ogni ora di fermo costa migliaia di euro);
• Posta elettronica: RPO 4 ore, RTO 8 ore;
• File condivisi marketing: RPO 24 ore, RTO 24 ore;
• Archivio storico documenti: RPO 7 giorni, RTO 72 ore.

Definire RPO/RTO obbliga il management a scegliere: ogni riduzione costa, e questa è una decisione di business, non IT. Per gestionali personalizzati e applicativi mission-critical, l’obiettivo realistico per una PMI ben strutturata è RPO < 1 ora e RTO < 4 ore.

Tipi di backup: full, incrementale, differenziale, sintetico

La scelta della tipologia di backup impatta direttamente RPO, RTO, finestra di backup e occupazione storage.

Full backup: copia completa di tutti i dati. Lento da eseguire, occupa molto spazio, ma è il più rapido in restore. Usato come base settimanale o mensile.

Backup incrementale: copia solo i dati modificati dall’ultimo backup (di qualsiasi tipo). Veloce, occupa poco, ma per ripristinare serve il full più tutta la catena degli incrementali successivi: più lungo il restore.

Backup differenziale: copia tutti i dati modificati dall’ultimo full. Più pesante dell’incrementale ma più rapido in restore (servono solo full + ultimo differenziale).

Synthetic full: una tecnica moderna (Veeam, Commvault) che ricostruisce un full “virtuale” combinando l’ultimo full reale con gli incrementali successivi, senza ripetere il full sulla produzione. Riduce la finestra di backup e protegge i sistemi sorgente.

CDP (Continuous Data Protection): replica continua dei cambiamenti, RPO vicino a zero. Costoso ma indispensabile per database transazionali critici. Veeam CDP, Zerto e Rubrik offrono questa modalità.

Una strategia tipica nel 2021 è: full settimanale (es. domenica notte) + incrementali giornalieri + synthetic full mensile + retention 30 giorni online + 12 mesi su cloud freddo (Glacier, Azure Archive, Aruba Cold).

Backup on-premise vs cloud vs ibrido: come scegliere

Nel 2021 esistono tre macro-architetture, ognuna con pro e contro chiari.

On-premise puro: NAS, SAN, librerie tape locali. Pro: bassa latenza, controllo totale, indipendenza dalla connettività. Contro: investimento iniziale (CapEx) elevato, scalabilità lenta, vulnerabile a disastri locali (incendio, allagamento, furto). Adatto a chi ha già data center o normative che obbligano dati in casa.

Cloud puro: AWS Backup, Azure Backup, Aruba Cloud Backup, Backblaze. Pro: scalabilità istantanea, OpEx prevedibile, geo-ridondanza inclusa, niente hardware da gestire. Contro: dipendenza dalla connettività in restore (ripristinare 5 TB su una linea da 100 Mbps richiede 5 giorni), costi di egress (uscita dati) spesso sottovalutati, lock-in del fornitore.

Ibrido: backup primario on-premise per RTO basso, copia secondaria su cloud per offsite e disaster recovery. È la scelta più comune nel 2021 per PMI tra 10 e 200 dipendenti, perché bilancia velocità di restore e protezione contro disastri locali. Veeam, Acronis e Rubrik sono nati proprio per orchestrare scenari ibridi.

La domanda chiave non è “cloud o non cloud” ma “quali workload, con quale RPO/RTO, a quale costo totale di proprietà (TCO) su 5 anni”. Vedi le nostre soluzioni cloud per scenari ibridi già configurati.

Le 6 piattaforme leader nel 2021

Il mercato del backup enterprise nel 2021 è dominato da pochi player, ognuno con un posizionamento preciso. Ecco una panoramica utile per orientarsi.

1. Veeam Backup & Replication (versione 11, rilasciata febbraio 2021): leader per ambienti virtualizzati VMware e Hyper-V. Eccellente integrazione con storage primario (NetApp, HPE, Pure), CDP nativa, instant VM recovery. Licenza per workload o per socket. Costo indicativo: 100-150€/VM/anno. Forza: maturità, comunità enorme, restore granulare anche dentro database e Exchange.

2. Acronis Cyber Backup (rinominato Cyber Protect nel 2020): unisce backup, antimalware, EDR e gestione patch in un’unica console. Forte focus su MSP e PMI. Cloud incluso (data center anche in Italia). Costo: da 60€/workstation/anno, server da 600€/anno.

3. Rubrik: appliance “zero-trust” con interfaccia SaaS-like, immutability nativa, ottima per ambienti enterprise complessi. Costoso (target: aziende sopra i 1.000 dipendenti) ma elimina molta complessità operativa. Modello a sottoscrizione.

4. Cohesity: piattaforma iperconvergente di secondary storage che unifica backup, archivio, file services e analytics. Scale-out nativo, integrazione marketplace di app (antivirus, indicizzazione). Target: enterprise.

5. AWS Backup: servizio nativo Amazon che centralizza backup di EC2, EBS, RDS, DynamoDB, EFS, S3, Storage Gateway. Pricing pay-per-use, integrazione IAM, compliance certificate. Indispensabile per chi ha workload AWS.

6. Aruba Cloud Backup: alternativa italiana basata su Acronis, con data center a Bergamo, Arezzo e altre sedi UE. Vantaggio: data residency italiana, supporto in italiano, integrazione con Aruba PEC e domini. Costo: da 4,90€/mese per 50 GB. Ottima per PMI vincolate a dati in Italia per motivi normativi o contrattuali.

Altri attori 2021 da menzionare: Commvault (storico, ricco di funzioni ma complesso), Veritas NetBackup (storico enterprise), Nakivo (low-cost VMware/Hyper-V), TIM Cloud Backup (mercato italiano), Yomi by Yoroi (sandboxing italiano, focus security più che backup).

Disaster Recovery Plan (DRP): cosa deve contenere davvero

Un Disaster Recovery Plan non è un documento per l’auditor: è un manuale operativo che, in piena crisi, deve permettere a tecnici sotto stress di rimettere in piedi i sistemi seguendo passi precisi. I componenti minimi:

1. Inventario asset critici: server, applicazioni, database, dipendenze, contatti vendor, numeri di licenza.
2. Business Impact Analysis (BIA): per ogni processo aziendale, l’impatto orario e giornaliero del fermo (perdita di fatturato, danno reputazionale, sanzioni contrattuali). Da qui derivano RPO e RTO.
3. Scenari di disastro: ransomware esteso, incendio data center, perdita connettività geografica, errore umano massivo, indisponibilità del cloud provider. Ogni scenario ha procedure dedicate.
4. Procedure di failover e failback: passo-passo, con screenshot, comandi esatti, credenziali in cassaforte separata.
5. Catena di comando: chi decide di attivare il DR, chi comunica ai clienti, chi parla con la stampa, chi coordina i tecnici.
6. Piano di test: tabletop trimestrale, test parziale semestrale, test full almeno annuale. Senza test, il DRP è carta.
7. Runbook di restore: ordine di ripristino dei sistemi (prima Active Directory, poi DNS, poi database, poi applicativi…), tempi attesi, criteri di “go/no-go”.
8. Comunicazione di crisi: template email per clienti, fornitori, dipendenti, autorità (Garante Privacy entro 72 ore se c’è data breach).

Un buon DRP per una PMI sta in 30-60 pagine, è aggiornato almeno ogni 6 mesi e non vive solo sul portatile dell’IT manager: copia stampata in cassaforte e copia digitale in repository accessibile anche se la rete aziendale è giù.

Business Continuity Plan (BCP): il livello sopra il DRP

Il Business Continuity Plan è il documento sovraordinato che governa la continuità di tutta l’azienda, non solo dell’IT. Include il DRP come capitolo, ma copre molto di più:

• Sedi alternative (smart working esteso, uffici di backup, accordi di reciprocità);
• Personale chiave e successione (cosa succede se si ammala il responsabile produzione);
• Supply chain alternativa (fornitori di backup pre-qualificati);
• Continuità finanziaria (linee di credito di emergenza, assicurazioni cyber);
• Rapporti con autorità e stakeholder.

Lo standard internazionale di riferimento è ISO 22301:2019, “Security and resilience — Business continuity management systems”. Le PMI italiane raramente si certificano, ma adottare la struttura del framework anche senza certificazione formale porta benefici concreti: maggiore consapevolezza dei rischi, procedure scritte, riduzione dei premi assicurativi cyber, vantaggio competitivo nelle gare con grandi clienti che richiedono ai fornitori un BCP documentato.

ISO 22301 e standard di compliance correlati

Oltre a ISO 22301, nel 2021 le aziende italiane devono coordinare diversi framework che si intersecano sul tema continuità e protezione dati:

• GDPR (Regolamento UE 2016/679): l’art. 32 richiede la “capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”. Tradotto: backup e DR sono obblighi normativi, non opzioni. Vedi la nostra guida alla compliance GDPR.
• ISO 27001: sistema di gestione della sicurezza delle informazioni. Il controllo A.17 è dedicato proprio agli “aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa”.
• NIS Directive (2016/1148): per operatori di servizi essenziali (energia, sanità, trasporti, finanza, infrastrutture digitali) prevede obblighi specifici di resilienza e notifica incidenti.
• AgID (Agenzia per l’Italia Digitale): linee guida per la PA su disaster recovery e cloud (Circolari AgID 1/2017 e successive).
• Misure minime AgID: per le PA, livello minimo, standard, alto.

Per le PMI fornitrici della PA o di grandi gruppi industriali, dimostrare conformità ad almeno uno di questi standard è sempre più spesso requisito di gara.

Per approfondire la sicurezza informatica complementare al backup, leggi la nostra guida alla sicurezza informatica per PMI 2021 e il pillar GDPR aziendale. Riferimenti istituzionali: Wikipedia disaster recovery e ENISA, l’agenzia europea per la cybersecurity.

Costi indicativi 2021 per PMI italiane

I costi reali variano molto in base a volume dati, RPO/RTO richiesti e scelta on-premise/cloud. Ecco range realistici osservati nel 2021 sul mercato italiano:

• PMI 5-20 dipendenti, 500 GB-1 TB dati: backup cloud puro Acronis o Aruba, 50-120€/mese. RPO 24h, RTO 8-24h.
• PMI 20-50 dipendenti, 2-5 TB dati: ibrido NAS + cloud, 200-400€/mese inclusa licenza Veeam Essentials. RPO 4-12h, RTO 4-8h.
• PMI 50-150 dipendenti, 5-20 TB dati: ibrido con appliance dedicata + replica cloud + DR site freddo, 800-2.000€/mese. RPO 1-4h, RTO 2-4h.
• Aziende 150-500 dipendenti, 20-100 TB dati: piattaforma enterprise (Veeam, Rubrik, Cohesity) + DRaaS, 3.000-8.000€/mese. RPO < 1h, RTO < 2h.

A questi vanno aggiunti i costi di consulenza per la stesura del DRP (5.000-15.000€ una tantum), test annuali (2.000-5.000€) e formazione del personale. Il ritorno sull’investimento si misura confrontandolo con il costo di un fermo: nel 2021, secondo Ponemon, il costo medio di un’ora di downtime per una PMI italiana è tra 8.000 e 25.000€. Una giornata persa può bastare a giustificare anni di budget DR.

Errori frequenti nelle PMI italiane

Dopo anni di progetti sul campo, gli errori si ripetono con sconfortante regolarità. I più comuni:

1. Backup mai testato: il restore funziona finché non lo provi. Programma test trimestrali documentati.
2. Una sola copia, una sola sede: NAS sotto la scrivania dell’IT non è un backup, è una copia locale. Manca l’offsite.
3. Backup connesso 24/7 alla rete: il primo bersaglio dei ransomware. Servono copie offline o immutable.
4. Retention troppo corta: ransomware moderni restano dormienti settimane. Conserva almeno 30 giorni online + 6-12 mesi cold.
5. Niente backup di SaaS: Microsoft 365, Google Workspace, Salesforce non garantiscono il recupero dei dati cancellati dall’utente. Usa Veeam Backup for M365, Acronis SaaS Backup o equivalenti.
6. Nessuna documentazione: se il responsabile IT è in vacanza, nessuno sa come fare restore.
7. Confondere alta disponibilità e backup: cluster e RAID proteggono dai guasti hardware, non dai ransomware né dagli errori umani. Servono entrambi.
8. Sottovalutare il restore time: ripristinare 10 TB da cloud su linea ADSL richiede settimane. Calcola sempre il restore reale, non solo il backup.
9. Non aggiornare il DRP dopo cambi infrastrutturali: nuovo gestionale, nuovo CRM, migrazione cloud… ogni modifica richiede aggiornamento del piano.
10. Mancanza di crittografia: backup non cifrato + furto del nastro = data breach GDPR.

L’integrazione con sistemi gestionali e l’integrazione API tra applicativi richiede una visione coordinata: ogni nuovo connettore è un nuovo punto da proteggere e includere nel piano di backup.

Domande frequenti (FAQ)

Quanto spesso devo fare backup?
Dipende dall’RPO definito. Per dati operativi standard, almeno una volta al giorno; per database transazionali, ogni 1-4 ore con log shipping continuo.

Il cloud è più sicuro del backup locale?
Più resistente ai disastri locali, sì. Più veloce in restore di grandi volumi, no. La risposta corretta è quasi sempre “ibrido”.

Quanto costa un piano completo per PMI 30 dipendenti?
Range realistico 2021: 250-500€/mese di servizi + 5-10k€ una tantum di consulenza/setup. Variabile in base a RPO/RTO e volume dati.

Devo certificarmi ISO 22301?
La certificazione formale serve a chi opera in settori regolati o partecipa a gare che la richiedono. Per le altre PMI, adottare il framework senza certificazione è già un grande passo avanti.

Cosa fa la differenza tra DRP e BCP?
Il DRP è tecnico (IT). Il BCP è organizzativo (tutta l’azienda). Il DRP è un capitolo del BCP.

I backup di Microsoft 365 servono davvero?
Sì. Microsoft garantisce la disponibilità del servizio, non il recupero dei dati cancellati o cifrati. Senza backup terzo, una mailbox cancellata oltre la retention nativa è persa.

Come si testa un DRP?
Tre livelli: tabletop (riunione su scenario), parziale (ripristino di un singolo servizio in ambiente isolato), full (failover completo su sito DR). Almeno uno di ciascun tipo all’anno.

Backup è obbligatorio per legge?
Indirettamente sì: GDPR (art. 32) e ISO 27001 lo richiedono come misura tecnica adeguata. Per la PA, AgID lo impone esplicitamente.

Cosa significa “immutability” nel backup?
Significa che il backup, una volta scritto, non può essere modificato né cancellato per un periodo definito (retention lock), nemmeno dall’amministratore. Tecnologie come AWS S3 Object Lock, Veeam Hardened Repository (Linux con file immutable bit), Rubrik append-only e nastri WORM (Write Once Read Many) implementano questo principio. Nel 2021 è diventato la difesa più efficace contro ransomware mirati: anche se l’attaccante ottiene credenziali admin, non può cifrare o eliminare i backup protetti.

Quanti tipi di test DR servono ogni anno?
La best practice nel 2021 prevede: 4 tabletop trimestrali (1-2 ore, su scenari diversi), 2 test parziali semestrali (ripristino di un servizio specifico in lab isolato), 1 test full annuale (failover di tutta l’infrastruttura sul sito DR). Ogni test produce un report con tempi misurati e gap rilevati, alimentando l’aggiornamento del DRP. Le aziende che fanno solo “backup, ma il DR mai testato” scoprono i problemi solo quando è troppo tardi.

Conclusioni: backup e DR come investimento, non costo

Nel 2021 la domanda non è più “se” subiremo un incidente, ma “quando”. Ransomware, errori umani, guasti hardware e disastri ambientali sono statistiche, non possibilità remote. Una PMI italiana ben strutturata deve trattare backup e disaster recovery come pilastri dell’infrastruttura, allo stesso livello della rete e dei firewall.

I tre passi minimi da fare subito, anche con budget limitato, sono: (1) implementare la regola 3-2-1-1-0 con almeno una copia immutable; (2) definire formalmente RPO e RTO per i 5 servizi più critici, coinvolgendo il management; (3) scrivere un DRP base, anche di sole 20 pagine, e testarlo almeno una volta. Da qui si costruiscono i livelli successivi: BCP completo, conformità ISO 22301, integrazione con assicurazione cyber.

Il costo di non farlo è sempre superiore al costo di farlo. Le aziende che hanno dovuto pagare riscatti ransomware nel 2020-2021 hanno speso, in media, dieci volte quello che sarebbe servito per un piano di prevenzione adeguato. Investire oggi in backup affidabili e disaster recovery testati significa proteggere fatturato, clienti, dipendenti e reputazione: in breve, garantire che la tua PMI esista ancora dopo l’incidente.