Ventunesima guida operativa Odoo 19 per PMI italiane. Sicurezza, backup e disaster recovery sono i tre pilastri spesso trascurati fino a quando non succede l’incidente. Per una PMI con 2 milioni di fatturato annuo, 1 giorno di fermo gestionale costa mediamente 8.000-15.000 € tra mancate vendite, operatori fermi, recupero dati e stress aziendale. Prevenire costa il 90% in meno che curare.
In questa guida vediamo: livelli di sicurezza Odoo (account, network, dati), strategie di backup automatizzato, definizione del piano di disaster recovery con RTO/RPO, conformità GDPR e cybersecurity, casi pratici di PMI italiane colpite e come si sono recuperate.
I 3 livelli di sicurezza Odoo
| Livello | Cosa protegge | Strumenti chiave |
|---|---|---|
| Account | Accesso utenti, ruoli, permessi | 2FA, SSO, password policy, audit log |
| Network | Connessioni client-server, API | HTTPS/TLS, firewall, IP whitelist, VPN |
| Dati | Database, file allegati, backup | Cifratura at-rest, GDPR, backup off-site |
Step 1 — Sicurezza account utenti


Autenticazione a 2 fattori (2FA)
Odoo 19 supporta nativamente:
- TOTP (Time-Based One-Time Password) tramite Google Authenticator, Microsoft Authenticator, Authy
- SMS OTP per utenti senza smartphone
- Backup codes per emergenze (10 codici monouso da stampare)
Configurazione: Impostazioni Utente → Account Security → Two-Factor Authentication. Attivazione consigliata per TUTTI gli utenti con permessi admin/finance.
Single Sign-On (SSO)
Integrazione con Identity Providers:
- Google Workspace (G Suite)
- Microsoft Azure AD / Entra ID
- Okta, Auth0
- SAML 2.0 generico
Vantaggi: 1 sola password aziendale, disattivazione utente centrale (se dipendente esce, blocchi accesso da Azure AD = perso accesso a Odoo automaticamente).
Password Policy
- Lunghezza minima 12 caratteri
- Mix maiuscole/minuscole/numeri/simboli obbligatori
- Scadenza ogni 90 giorni per utenti con accesso a dati sensibili
- Blocco riutilizzo ultime 5 password
- Lockout dopo 5 tentativi falliti (15 minuti)
Ruoli e permessi (RBAC)

Odoo implementa Role-Based Access Control:
- Ogni utente ha 1 o più gruppi (Salesman, Sales Manager, Accountant, etc.)
- Ogni gruppo ha permessi specifici (read, write, create, delete)
- Permessi possono essere a livello modulo, record, campo
- Audit log registra ogni modifica importante
Step 2 — Sicurezza network
HTTPS/TLS obbligatorio
- Certificato SSL gratuito con Let’s Encrypt (rinnovo automatico ogni 90 gg)
- Forzare redirect HTTP → HTTPS
- HSTS header per impedire downgrade
- TLS 1.2+ minimo, TLS 1.3 raccomandato
IP Whitelist
Limita accesso solo da IP autorizzati:
- Sede aziendale (IP pubblico)
- Smart working (VPN aziendale)
- Partner certificati (G Tech Group per supporto)
Configurazione su firewall server o reverse proxy nginx. Riduzione attacchi bruteforce del 99%.
VPN per accesso remoto
Per dipendenti in smart working, NON esporre Odoo direttamente su internet. Usare:
- WireGuard (più moderno, performante)
- OpenVPN (più diffuso, compatibile)
- Tailscale / Zerotier (cloud, no configurazione)
Rate limiting
Limita richieste per IP per evitare DoS e bruteforce:
- Login: max 5 tentativi/minuto per IP
- API: max 100 richieste/minuto per token
- Web: max 200 richieste/minuto per IP
Step 3 — Backup automatizzato

Cosa salvare nei backup
- Database PostgreSQL (dati operativi)
- Filestore (allegati: PDF fatture, immagini prodotti, documenti)
- Configurazione Odoo (odoo.conf, addons custom)
- Certificati SSL
Strategia 3-2-1
- 3 copie dei dati (originale + 2 backup)
- 2 supporti diversi (locale + cloud)
- 1 copia off-site (geograficamente separata)
Frequenza consigliata
| Tipo backup | Frequenza | Retention |
|---|---|---|
| Backup incrementale | Ogni 1-4 ore | 48 ore |
| Backup giornaliero completo | Notte (3:00) | 30 giorni |
| Backup settimanale | Domenica notte | 12 settimane |
| Backup mensile | 1° del mese | 12 mesi |
| Backup annuale | 31 dicembre | 10 anni (compliance fiscale) |
Script backup automatico (esempio)
Per Odoo self-hosted, cron job che esegue:
pg_dumpdel databasetar.gzdel filestore- Upload su cloud (S3, Backblaze, Hetzner Storage Box)
- Cancellazione vecchi backup oltre retention
- Email notifica successo/fallimento
Costo storage cloud tipico: 5-20 €/mese per PMI con 50-200 GB di dati.
Backup Odoo.sh (cloud ufficiale)
Se usi Odoo.sh:
- 7 backup giornalieri automatici (ultimi 7 giorni)
- 5 backup settimanali (ultime 5 settimane)
- 3 backup mensili (ultimi 3 mesi)
- Restore con 1 click dalla dashboard
- Tempo di restore: 5-15 minuti tipico
Step 4 — Disaster Recovery Plan

Definizioni essenziali
- RTO (Recovery Time Objective): tempo massimo accettabile per ripristinare il servizio
- RPO (Recovery Point Objective): quantità massima di dati che ti puoi permettere di perdere
Target tipici per PMI
| Settore PMI | RTO target | RPO target |
|---|---|---|
| E-commerce | 1-4 ore | 15 minuti |
| Manifattura | 4-8 ore | 2 ore |
| Servizi B2B | 4-12 ore | 4 ore |
| Studio professionale | 8-24 ore | 8 ore |
Le 5 sezioni del DR Plan
- Inventario sistemi critici: Odoo, banca, email, telefonia, SDI
- Procedura di emergenza: chi chiama chi, escalation, decisione
- Procedura tecnica di restore: passo-passo per ripristinare
- Comunicazione: template email a clienti/fornitori durante disservizio
- Test periodici: simulazione disastro almeno 1 volta/anno
Scenari da pianificare
- Hardware failure: server hardware rotto → restore su nuovo server
- Datacenter down: cloud provider in outage → switch a secondary region
- Ransomware: dati cifrati da malware → restore da backup off-site
- Disastro naturale: incendio, allagamento, terremoto → restore in altra sede
- Errore umano: cancellazione massiva dati → restore parziale
- Cyber attacco: violazione credenziali → reset + restore + audit
Step 5 — GDPR e compliance
Gestione dati personali
- Inventario dati: mappare dove e quali dati personali sono conservati
- Base giuridica: documentare il motivo del trattamento (contratto, consenso, obbligo)
- Retention policy: definire per quanto tempo conservare ogni tipologia (anagrafica cliente attivo: vita contratto + 10 anni)
- Cancellazione su richiesta: workflow per evadere richieste GDPR art.17 (diritto all’oblio)
Audit log
Odoo registra automaticamente:
- Modifiche ai dati sensibili (campi tracciati)
- Accessi degli utenti (login/logout, IP, browser)
- Export di dati
- Modifiche permessi
Conservazione log: 12-24 mesi per audit e investigazioni di sicurezza.
Data Breach notification
In caso di violazione dati personali (art. 33 GDPR):
- Notifica al Garante entro 72 ore dalla scoperta
- Notifica agli interessati se rischio alto
- Documentazione completa: cosa successo, dati impattati, mitigation
- Sanzioni mancata notifica: fino al 2% fatturato globale o 10M €
Casi pratici PMI italiana
Caso 1 — Ransomware su gestionale legacy
- PMI manifatturiera 40 dipendenti, gestionale Windows 2008 obsoleto
- Maggio 2026: attacco ransomware via email phishing
- Tutti i file cifrati, richiesta riscatto 80.000 € in bitcoin
- Backup off-site su nastro, ultimo recente di 5 giorni prima
- Restore completo in 18 ore + 2 settimane di lavoro perso ricostruzione
- Migrazione successiva a Odoo Enterprise + Odoo.sh per resilience
Caso 2 — Datacenter outage Aruba
- PMI servizi 25 dipendenti, Odoo self-hosted su VPS Aruba
- Aprile 2026: incendio datacenter Aruba Arezzo
- Downtime 24 ore
- Avevano backup cloud Backblaze giornaliero
- Restore su nuovo VPS Hetzner: 3 ore
- Lessons learned: multi-region strategy + Odoo.sh con failover
Caso 3 — Dipendente “vendicativo” cancella dati
- PMI 15 dipendenti, dipendente licenziato cancella 500 fatture prima di uscire
- Account non disattivato tempestivamente
- Audit log evidenzia operazioni in 1 ora
- Restore da backup notturno: 15 minuti
- Lessons learned: SSO con disattivazione centralizzata + 2FA + audit attivo
Caso 4 — Errore aggiornamento sistema
- PMI e-commerce 10 dipendenti, aggiornamento maggior versione senza test staging
- Sistema down 6 ore per incompatibilità custom modules
- Rollback al backup pre-aggiornamento: 30 minuti
- Lessons learned: sempre ambiente staging per test pre-produzione
Costi sicurezza/backup
PMI 10-25 dipendenti
- Backup cloud (50 GB): 10-25 €/mese
- SSL gratuito (Let’s Encrypt): 0 €
- 2FA: incluso in Odoo
- Monitoring (UptimeRobot): gratuito fino a 50 monitor
- Totale: 120-300 €/anno
PMI 25-100 dipendenti
- Backup cloud (200 GB): 30-60 €/mese
- SSO (Microsoft Entra ID): incluso M365 Business
- VPN aziendale: 5-15 €/utente/mese
- Monitoring + alerting (Datadog Lite): 100-300 €/mese
- Penetration test annuale: 3.000-8.000 €
- Totale: 5.000-15.000 €/anno
Errori comuni
“Backup non testati = backup non esistenti”
Soluzione: simula restore almeno 1 volta/trimestre. Tempo non perso ma investito.
“Tutti gli utenti con permessi admin”
Soluzione: principio del minimo privilegio. Concedi solo permessi necessari per lavoro.
“Password condivise tra dipendenti”
Soluzione: ogni dipendente ha account proprio + 2FA. Audit log per tracciare azioni individuali.
“Nessun DR Plan documentato”
Soluzione: il DR Plan deve essere scritto, condiviso, testato. Mai “nella testa del responsabile IT”.
FAQ
Odoo.sh è più sicuro del self-hosted?
Per la maggior parte delle PMI, sì. Odoo.sh include: backup automatici 7+5+3, SSL gratuito, monitoring, DDoS protection, infrastruttura ridondante. Self-hosted ti dà più controllo ma anche più responsabilità.
Posso esportare TUTTI i miei dati se cambio fornitore?
Sì. Odoo è open source: pg_dump del database + filestore = tutti i dati. Export completo in 30 minuti. Niente vendor lock-in (differenza significativa vs Zucchetti / TeamSystem).
Quanto dura un backup completo di una PMI media?
Database 5-50 GB: pg_dump 5-30 minuti. Filestore 50-500 GB: tar.gz 30-180 minuti. Upload cloud: dipende da connessione. Totale tipico: 2-4 ore notturne.
Devo notificare al Garante un attacco anche se non ci sono stati danni?
Se non ci sono dati personali compromessi: no. Se anche solo nomi/email/IP sono potenzialmente esposti: sì, entro 72h. Meglio sovra-notificare che sotto-notificare.
Esiste un’assicurazione cybersecurity per PMI?
Sì. Compagnie come Generali, AXA, Vittoria, Allianz offrono polizze cyber risk: copertura recupero dati, riscatto ransomware, danni terzi, business interruption. Costo: 2.000-15.000 €/anno per PMI 10-100 dipendenti.
Checklist sicurezza Odoo
- ☐ 2FA attivato per tutti gli utenti admin
- ☐ SSL/HTTPS forzato
- ☐ IP whitelist configurata
- ☐ Backup giornalieri automatici
- ☐ Backup off-site (cloud diverso da hosting)
- ☐ Test restore mensile
- ☐ DR Plan scritto e condiviso
- ☐ Audit log attivo e archiviato
- ☐ Password policy applicata
- ☐ Aggiornamenti sicurezza applicati entro 30 gg
- ☐ Monitoring uptime attivo
- ☐ GDPR compliance documentata
- ☐ Penetration test annuale (PMI >50 dip)
Prossimi passi
Nelle prossime guide vedremo come calcolare il ROI dell’investimento in Odoo per la tua PMI, come preparare il go-live con checklist completa, e come ottimizzare le performance di Odoo per cataloghi grandi.
Vuoi rendere Odoo a prova di disastro?
G Tech Group è partner ufficiale Odoo Italia: configuriamo strategia backup 3-2-1, DR Plan personalizzato, monitoring 24/7, audit di sicurezza, formazione team su best practice GDPR.
Richiedi un preventivo gratuito oppure prova la nostra demo Odoo 19 live. Oppure prova Odoo direttamente su odoo.com (link partner Brentasoft).
Vuoi una soluzione su misura per la tua azienda?
Brentasoft sviluppa gestionali, CRM e software personalizzati per PMI italiane. Parliamo del tuo progetto.