Oggi, 31 marzo, è il World Backup Day— la giornata mondiale dedicata alla protezione dei dati. Non è una ricorrenza simbolica: è un promemoria per tutte le aziende che ancora trattano il backup come un dettaglio tecnico invece che come una questione di sopravvivenza.
I numeri parlano chiaro: il 60% delle PMI che subisce una perdita significativa di dati chiude entro 6 mesi. Solo il 41% delle PMI italiane ha un sistema di backup strutturato e testato. E il 37% dei backup fallisce al momento del ripristino. Questo articolo non è l'ennesima lista di buone pratiche: è un'analisi concreta di cosa va storto e come evitarlo.
I numeri che le PMI italiane dovrebbero conoscere
Il Rapporto Clusit 2025 e i dati Veeam fotografano una situazione allarmante per le imprese italiane:
60%
delle PMI che perde i dati chiude entro 6 mesi
41%
delle PMI italiane ha un backup strutturato e testato
37%
dei backup fallisce al momento del ripristino
140.000 €
costo medio di un incidente dati per una PMI italiana
5.000–20.000 €/h
costo di un'ora di fermo non pianificato
21 giorni
fermo medio dopo un attacco ransomware senza piano DR
Solo il 39% delle aziende italiane si fida dei propri piani di ripristino dopo una violazione. Il problema non è la mancanza di backup — è la mancanza di backup che funzionano quando servono.
I 5 errori più comuni con il backup aziendale
Dopo oltre 25 anni di gestione infrastrutture IT per aziende, questi sono gli errori che vediamo ripetersi:
1. Non testare mai il ripristino
Il backup più comune è quello che nessuno ha mai provato a ripristinare. Il 37% dei backup fallisce al momento del restore. Se non documenti tempi e procedure di ripristino, non hai un backup — hai una speranza.
2. Conservare i backup nello stesso luogo dei dati
Un incendio, un allagamento o un ransomware che cifra l'intera rete distrugge tutto: dati e copie di sicurezza. Senza una copia offsite o in cloud, il rischio di perdita totale è reale.
3. Ignorare i dati SaaS
L'87% dei professionisti IT ha subito una perdita di dati SaaS nell'ultimo anno, e la causa principale non sono gli hacker: è l'errore umano. Microsoft 365, Google Workspace e le altre piattaforme cloud non includono un backup dei tuoi datinell'abbonamento.
4. Non avere RPO e RTO definiti
Senza un Recovery Point Objective (quanti dati puoi permetterti di perdere) e un Recovery Time Objective (in quanto tempo devi ripartire), il backup è un tiro al buio. Ogni sistema critico deve avere RPO e RTO documentati e verificati.
5. Backup senza protezione anti-ransomware
Oltre il 90% degli attacchi ransomware tenta di distruggere i repository di backup. Senza immutabilità e air-gapping, il ransomware cifra anche le copie di sicurezza, lasciando l'azienda senza alternative se non pagare il riscatto.
La regola 3-2-1-1-0: il nuovo standard del backup
La classica regola 3-2-1 (3 copie, 2 supporti diversi, 1 offsite) è stata il fondamento del backup per decenni. Ma nel 2026, con il ransomware che prende di mira i backup stessi, non basta più. L'industria ha adottato la regola 3-2-1-1-0:
copie dei dati (produzione + 2 backup)
supporti diversi (disco, cloud, nastro)
copia offsite (datacenter remoto o cloud europeo)
copia immutabile o air-gapped (non modificabile né cancellabile)
errori — verificati con test di ripristino automatizzati
L'aggiunta critica è l'immutabilità: uno storage che impedisce la modifica o cancellazione dei dati per un periodo definito. Anche se un attaccante ottiene le credenziali admin, non può toccare i backup immutabili. È l'ultima linea di difesa — e per molte aziende, l'unica che funziona davvero.
Backup e ransomware: l'ultima linea di difesa
I dati 2026 confermano una tendenza chiara: gli attacchi ransomware crescono dell'89% anno su anno grazie all'AI, e i tempi di compromissione sono scesi sotto i 30 minuti. Il rapporto Sophos 2025 rivela che l'uso dei backup per il ripristino dopo ransomware è sceso al 54% dei casi — il livello più basso in sei anni.
Perché? Perché gli attaccanti hanno imparato a colpire prima i backup. Il 93% delle aziende colpite da ransomware senza backup funzionante paga il riscatto. La combinazione di cybersecurity proattiva e backup immutabile è l'unica strategia che funziona: prevenzione per ridurre la superficie d'attacco, backup resiliente per garantire il ripristino quando la prevenzione non basta.
Cosa cercare in una soluzione di backup aziendale
Non tutte le soluzioni di backup sono uguali. Ecco i criteri che consigliamo di valutare:
- Immutabilità— i dati di backup non devono poter essere modificati o cancellati prima della scadenza della retention, nemmeno con credenziali admin
- Residenza dati in UE — datacenter europei certificati, conformi a GDPR e con sovranità dei dati garantita
- Cifratura end-to-end— at rest e in transit, con chiavi gestite dal cliente (CMK) per il massimo controllo
- Ripristino granulare— capacità di recuperare singoli file, email o elementi senza dover ripristinare l'intero sistema
- Test di ripristino automatizzati— verifica periodica che i backup siano integri e ripristinabili, con report documentati
- Certificazioni del provider — ISO/IEC 27001, 27017, 27018 e conformità NIS2 garantiscono che la sicurezza non sia solo dichiarata, ma verificata da enti accreditati
Un dettaglio spesso trascurato: il voucher MIMIT 2026 copre fino al 50% dei costi per servizi cloud e cybersecurity, inclusi backup e disaster recovery. Un contributo a fondo perduto fino a 20.000 € per PMI e professionisti.
Fonti
- Veeam — World Backup Day 2026: When Backup Becomes the Last Line of Defense
- NCN Online — Industry Leaders Stress Data Resilience as a Business Survival Imperative
- Arena Digitale — World Backup Day: meno della metà delle aziende si fida dei propri piani di ripristino
- Cybersecurity360 — World Backup Day 2026: il dato fa parte della nostra identità digitale
- ISA Computer — Backup aziendale nel 2026: perché il 60% delle PMI non ripartirebbe