Il backup dati aziendali è la prima cosa che un attacco ransomware moderno cerca — e distrugge. Quasi tutte le PMI ne hanno uno. Quasi nessuna lo ha configurato in modo da sopravvivere a un attacco ransomware moderno.
I numeri lo confermano: il Veeam Ransomware Trends Report 2025 ha rilevato che nell’89% degli attacchi gli hacker hanno preso di mira i backup prima di cifrare i dati primari. Il risultato: solo il 10% delle organizzazioni colpite è riuscita a recuperare più del 90% dei propri dati. Il 57% ne ha recuperati meno della metà.
In Italia la situazione è ancora più critica: gli attacchi ransomware sono aumentati del 65% nel 2025, il 46% ha colpito PMI, e il costo medio per una piccola impresa si attesta tra i 50.000 e i 200.000 euro — inclusi downtime, ripristino e perdita di contratti. Il problema, quasi mai, è l’assenza di un backup dati aziendali. È la sua architettura.
Backup dati aziendali: perché quello che hai probabilmente non funziona
Il ransomware moderno — Akira, LockBit, Black Basta — non si limita a cifrare i file sul server principale. Prima di procedere, scandisce la rete alla ricerca di tutto ciò che può raggiungere: condivisioni di rete, NAS collegati, cartelle sincronizzate con il cloud, dischi USB perennemente collegati.
Se il backup è montato sulla stessa rete, viene cifrato insieme ai dati originali. È esattamente lo scenario che rende inutile la configurazione standard di molte PMI: un NAS in LAN, una cartella OneDrive o Google Drive che si sincronizza automaticamente, un disco esterno sempre inserito nel server.
In questi casi avere un backup è come conservare una copia delle chiavi di casa appesa fuori dalla porta.
La regola 3-2-1-1-0: cosa significa ogni cifra
La regola 3-2-1-1-0 per i backup dati aziendali è lo standard di riferimento per la protezione dei dati contro ransomware e guasti hardware. Ogni cifra corrisponde a un requisito preciso:
- 3 — tre copie dei dati (originale + due backup distinti)
- 2 — due tipi di supporto diversi (es. disco locale + cloud)
- 1 — almeno una copia in posizione offsite, fisicamente separata dalla sede principale
- 1 — almeno una copia offline o air-gapped, ovvero non raggiungibile dalla rete in modo continuativo
- 0 — zero errori non rilevati: ogni backup testato periodicamente con un ripristino reale
Le due aggiunte rispetto alla vecchia regola 3-2-1 sono il secondo “1” e lo “0”: la copia offline e la verifica attiva. Sono le due componenti che il ransomware non riesce ad aggirare — e le due che la maggior parte delle PMI non ha.
Backup dati aziendali:
Perché la vecchia regola 3-2-1 non basta più
La regola 3-2-1 era pensata per proteggersi da guasti hardware e disastri fisici (incendi, allagamenti). Per quelli funziona ancora. Non funziona contro il ransomware perché non contempla l’isolamento dalla rete.
Un backup su NAS locale più cloud è teoricamente 3-2-1: copia originale, copia NAS (supporto 1), copia cloud (supporto 2, offsite). Ma se il NAS è sempre montato e il cloud è sincronizzato in tempo reale, entrambe le copie sono raggiungibili da un malware che ha compromesso la rete. Il cloud sincronizza anche la cifratura — e la versione corrotta sovrascrive quella integra nel giro di minuti.
La soluzione è il backup immutabile — un repository che non può essere modificato o cancellato per un periodo definito — e il backup offline: un supporto collegato solo durante la finestra di backup e poi scollegato fisicamente dalla rete. Entrambe le tecnologie sono accessibili anche per PMI senza budget enterprise.
Cosa dice NIS2 sul backup delle PMI
La Direttiva NIS2 (recepita in Italia con il D.Lgs. 138/2024) impone ai soggetti classificati come essenziali o importanti l’adozione di misure di business continuity che includono esplicitamente strategie di backup verificabili e procedure di ripristino testate. L’articolo 21 elenca tra le misure obbligatorie la “gestione dei backup” e il “ripristino in caso di disastro”.
Anche le PMI che non rientrano formalmente nell’ambito NIS2 trovano in questo standard un riferimento pratico: clienti enterprise e pubbliche amministrazioni che esternalizzano servizi iniziano a richiedere ai fornitori la documentazione dei processi di backup. Non essere in grado di dimostrarla diventa un problema commerciale prima ancora che normativo. I soggetti NIS2 che non dispongono di un backup dati aziendali strutturato rischiano sanzioni fino a 10 milioni di euro o il 2% del fatturato annuo globale.
Come implementare la 3-2-1-1-0 senza budget enterprise
Per una PMI, l’implementazione pratica di un backup dati aziendali efficace non richiede infrastrutture costose. Un approccio concreto per fasce di dimensione:
- Copia locale con immutabilità: soluzioni come Veeam Backup Community Edition o Nakivo consentono di configurare repository con retention lock su NAS compatibili, impedendo la modifica o cancellazione dei backup per un periodo definito.
- Copia cloud con versioning: servizi come Backblaze B2, Wasabi o Amazon S3 Glacier offrono storage a basso costo con versioning attivabile — ogni modifica genera una nuova versione, quindi la cifratura non sovrascrive la copia originale.
- Copia offline ruotata: un disco esterno USB 3 da 4-8 TB con rotazione settimanale (disco A in uso questa settimana, disco B fuori sede o in cassaforte) è sufficiente per molte realtà. Costo indicativo: 100-150 euro.
- Test di ripristino mensile: senza un test periodico, il backup è una promessa non verificata. Un ripristino su macchina virtuale di test, anche parziale, è sufficiente a confermare l’integrità dei dati.
La revisione e l’implementazione di un’architettura di backup dati aziendali è tra i servizi che il nostro team affianca quotidianamente a PMI, studi professionali e strutture del territorio. Se vuoi capire se la tua configurazione attuale reggerebbe un attacco ransomware, il nostro referente è disponibile per un’analisi preliminare gratuita e senza impegno.
Contattaci — daveastudio.it/sicurezza-informatica-per-pmi/
Fonti: