Backup gestito o piattaforma di backup:
come sceglie il reparto IT

Perché il backup torna al centro

Per anni il backup è stato considerato un'attività di sfondo: un job notturno che parte, una retention che si rinnova, un report che nessuno legge davvero. Negli ultimi due anni tre forze hanno rimesso il backup al centro delle priorità di sicurezza: l'ondata di attacchi ransomware con cifratura mirata anche dei backup, l'entrata in vigore della Direttiva NIS2 con requisiti espliciti su business continuity e gestione delle crisi (art. 21 del D.Lgs. 138 del 4 settembre 2024), e l'evoluzione di ISO/IEC 27001:2022 che ha promosso il backup a controllo dedicato — A.8.13 «Information backup» — affiancato da A.5.30 «ICT readiness for business continuity».

In questo contesto i reparti IT delle aziende italiane si stanno ponendo una domanda che fino a poco tempo fa era marginale: vogliamo continuare a gestire internamente la piattaforma di backup, o conviene esternalizzare tutto il servizio? E se la risposta è «un po' di entrambi», che modello operativo adottare?

Backup gestito (SaaS): chi fa cosa

Nel modello SaaS il fornitore eroga il backup come servizio end-to-end. L'azienda cliente non vede la console, non gestisce le policy, non esegue i test: definisce cosa proteggere e quanto tempo conservare, e riceve report periodici e un referente tecnico dedicato. È il modello che si avvicina di più all'esperienza «zero pensieri» richiesta da chi non ha un reparto IT strutturato.

• ✓Operatività delegata. Job, retention, monitoraggio, test di ripristino periodici e gestione delle eccezioni sono in carico al fornitore. Il cliente firma policy e riceve evidenze, non opera la piattaforma.
• ✓Documentazione di compliance pronta. Il fornitore mantiene la documentazione necessaria a un audit ISO 27001, NIS2 o GDPR: registro test di ripristino, log degli accessi alla piattaforma, evidenza dell'immutabilità dei dati.
• ✓Predicibilità di costo. Canone fisso o variabile per GB protetto / utente protetto. Non ci sono costi nascosti di infrastruttura o competenze sysadmin da mantenere internamente.
• ⚠Minore controllo operativo. Le modifiche alle policy passano dal fornitore: l'azienda guadagna in serenità ma perde in granularità rispetto a chi ha un reparto IT che vuole intervenire in tempo reale.

Piattaforma di backup (PaaS): cosa eroghiamo

Nel modello PaaS — Platform as a Service — il fornitore eroga la sola infrastruttura di backup. Il reparto IT interno del cliente diventa l'operatore della piattaforma: definisce job, policy di retention, schedule, gestisce gli alert, esegue i ripristini quando servono. Il fornitore garantisce le caratteristiche infrastrutturali, l'aggiornamento del software di gestione, la sicurezza fisica e logica dei datacenter.

• ✓Repository immutabili in UE. Storage object-lock / WORM in datacenter europei, cifratura at-rest e in-transit, replica geo-ridondante. Nessun ransomware può cifrare o cancellare i backup, neanche con credenziali amministrative compromesse.
• ✓Console di gestione e audit log. Interfaccia di amministrazione completa, multi-utente, con audit log dettagliato di chi ha fatto cosa. Il reparto IT vede in tempo reale lo stato di tutti i job, le retention applicate, gli alert di fallimento.
• ✓Controllo operativo completo. Il reparto IT decide quando e come modificare le policy, esegue ripristini in autonomia senza dover aprire un ticket, integra la piattaforma con il proprio sistema di ticketing, SIEM, monitoring.
• ⚠Responsabilità operativa interna. Configurazione iniziale, test di ripristino, gestione retention, audit di compliance, formazione del personale: tutto resta sul reparto IT del cliente. Il valore del PaaS dipende dalla disciplina operativa di chi lo opera.

Cinque domande per decidere

Non esiste un modello «migliore» in assoluto: dipende dall'assetto organizzativo e tecnologico dell'azienda. Le cinque domande che proponiamo ai clienti per orientare la scelta sono operative, non accademiche.

• 1Hai un reparto IT con competenze sysadmin e DBA dedicate? Senza queste competenze in casa, il PaaS è un rischio: nessuno aggiornerà la configurazione quando cambia un workload, nessuno eseguirà i test di ripristino richiesti da NIS2 e ISO 27001.
• 2Il backup è solo «una cosa da fare» o un asset strategico? Se è un asset strategico — fornitore di servizi critici per terzi, dati regolamentati, settori NIS2 — il controllo diretto via PaaS può aiutare in fase di audit. Se è una cosa che vuoi che «funzioni e basta», il SaaS gestito riduce drasticamente il sovraccarico.
• 3Quali workload devi proteggere? Server, VM, database, Microsoft 365, endpoint, applicazioni legacy: un assessment realistico mostra quasi sempre che alcuni workload sono naturalmente «da gestito» (Microsoft 365, endpoint distribuiti) e altri «da piattaforma» (VM critiche con SLA stringenti, database ad alta variabilità).
• 4Quanto sei disposto a investire in formazione interna? Il PaaS richiede formazione continua del reparto IT sulla piattaforma, su nuovi workload, su test di ripristino strutturati. Se il personale è già saturo su altre priorità, l'ipotesi PaaS rischia di trasformarsi in una piattaforma sottoutilizzata.
• 5Quali vincoli di conformità e sovranità del dato hai? Settori regolamentati con vincoli espliciti su residenza dei dati, chi può accedere ai backup, periodi minimi di conservazione: la piattaforma deve dimostrare conformità documentata (datacenter UE, certificazioni del fornitore), ma la ripartizione delle responsabilità contrattuali resta da definire. Confronto operativo SaaS / PaaS.

Il modello ibrido è quello reale

Nella pratica, pochissime aziende adottano un modello «puro». La distribuzione che osserviamo più spesso nei progetti — soprattutto su PMI con reparto IT interno — è ibrida. Il reparto IT gestisce in autonomia il backup dei workload che conosce a fondo (server fisici, VM VMware o Hyper-V, database SQL Server o PostgreSQL) sulla piattaforma PaaS, mentre delega ad AtWorkStudio i workload che richiedono competenze specifiche o effort operativo continuo (Microsoft 365 backup, backup degli endpoint distribuiti, disaster recovery orchestrato per workload critici).

La piattaforma sottostante è la stessa: cambia solo chi opera la console e chi firma il piano di ripristino per ciascun perimetro. Dal punto di vista del cliente è un'unica architettura, una sola residenza dei dati, una sola superficie di audit.

Conformità: NIS2, ISO 27001 e DORA

I requisiti di conformità più rilevanti per il backup nelle PMI italiane sono tre. La Direttiva NIS2 (art. 21 del D.Lgs. 138/2024) richiede esplicitamente politiche di continuità operativa e gestione delle crisi, di cui il backup è componente strutturale. ISO/IEC 27001:2022 promuove il backup a controllo dedicato A.8.13 «Information backup» e lo affianca ad A.5.30 «ICT readiness for business continuity». DORA (Regolamento UE 2022/2554) impone, per il settore finanziario, test di ripristino documentati e capacità di ripartenza misurabile in scenari realistici di interruzione.

In tutti e tre i casi, il modello di erogazione (SaaS o PaaS) è neutro: entrambi possono dimostrare conformità. Quello che cambia è la ripartizione documentata delle responsabilità nel contratto di servizio (SLA, audit trail, accesso alle evidenze, piano di test) — un capitolato che è bene scrivere prima della firma, non dopo il primo incident.

Come AtWorkStudio eroga il backup

In AtWorkStudio eroghiamo backup e disaster recovery in entrambi i modelli, sulla stessa piattaforma sottostante con residenza dei dati in datacenter europei, repository immutabili, cifratura AES-256 at-rest e in-transit, audit log e replica multi-region. Operiamo da Piacenza, siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, qualificati ACN (Agenzia per la Cybersicurezza Nazionale) per il servizio cloud SaaS di backup Microsoft 365 (SA-7583), membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT (Ricerca, Innovazione e Competenze in Information Technology).