Quasi la metà dei responsabili IT non è sicura di riuscire a riprendersi da un attacco ransomware. ^[1] Questo divario di solito si riduce a un solo fattore: backup che non sono mai stati testati completamente. Il primo vero test arriva spesso durante un incidente ransomware, quando gli attaccanti hanno già individuato i repository di backup e cifrato le copie modificabili insieme ai dati di produzione. 

Il ransomware ha cambiato ciò che backup e ripristino devono ottenere. Gli attaccanti non prendono di mira i file a caso. In molti casi, prima mappano l’infrastruttura di backup, proprio per eliminare le opzioni di ripristino prima che venga rilasciato il payload di cifratura.  

Secondo l’indagine per la Giornata Mondiale Backup 2026 di Object First, il 79% dei responsabili IT afferma che l’accesso degli attaccanti ai backup è la preoccupazione principale. [1] È un cambiamento fondamentale rispetto a ciò che l’architettura di backup deve essere progettata per bloccare. 

Le best practice Backup si stanno evolvendo per affrontare questa sfida; persino la regola fondamentale Regola di Backup 3-2-1 si è evoluta, con il modello esteso 3-2-1-1-0 che ora richiede una copia immutabile e zero errori. Questa guida illustra come si presentano oggi backup e ripristino dei dati: le tipologie, i componenti di un piano funzionante e le decisioni che determinano se una strategia regge sotto pressione. 

Punti chiave

• Backup dei dati crea copie protette; il ripristino le ripristina. Entrambi sono critici, ma molte organizzazioni testano regolarmente solo uno dei due.
• Il ransomware spesso prende di mira l’infrastruttura di backup prima di attivare la cifratura, proprio per distruggere il percorso di ripristino prima che l’attacco sia visibile.
• Solo il 58% delle organizzazioni usa archivio immutabile su tutti i propri dati. ^[1] Quasi la metà degli ambienti ha quindi almeno un percorso di ripristino che un attaccante può raggiungere e distruggere.

Che cosa sono backup e ripristino?

Backup dei dati è il processo di copia dei dati critici in una posizione sicura e separata, secondo una pianificazione definita. Il ripristino consiste nel ripristinare quei dati quando i sistemi di produzione si guastano o vengono compromessi.  

Insieme, costituiscono la base di qualsiasi strategia di protezione dei dati. Negli ambienti moderni, un backup deve anche imporre l’Immutabilità Assoluta, garantendo che nessuno possa modificare o eliminare i dati di backup, nemmeno con credenziali amministrative.

E deve essere testato regolarmente per confermare che il ripristino sia una capacità reale, non una semplice supposizione.

Perché backup e ripristino dei dati sono importanti?

Una strategia di backup dei dati che non produce un ripristino sicuro è solo overhead, non protezione. Questi sono i criteri che deve soddisfare.

1. Resilienza al ransomware: solo il 53% dei responsabili IT è sicuro di poter ripristinare rapidamente dopo un attacco ransomware guidato dall’IA. ^[1] Anche se questa fiducia fosse giustificata, resta il 47% che gestisce ambienti in cui il ripristino è un’incognita. Il costo medio di ripristino dopo un incidente ransomware è di 1,5 milioni di dollari, separatamente da qualsiasi pagamento di riscatto. ^[2] Le organizzazioni con backup immutabili verificati eliminano la leva su cui gli attaccanti fanno affidamento.  
2. Continuità operativa: ogni ora di fermo non pianificato comporta costi operativi e finanziari diretti. Il ransomware è progettato esplicitamente come una strategia di estorsione basata sul tempo. Più a lungo i sistemi restano offline, più aumenta la pressione a pagare. Una copia backup immutabile locale riduce i tempi di ripristino da giorni a ore, così le organizzazioni possono ripristinare rapidamente i propri dati senza negoziare.
3. Conformità normativa: GDPR (Articolo 32), NIS2 e ISO 27001 richiedono capacità documentate di protezione dei dati e ripristino tempestivo, con normative specifiche di settore come HIPAA, DORA e FINRA che rafforzano questi requisiti nei settori regolamentati. La non conformità spesso aggrava le conseguenze finanziarie e legali di una violazione.
4. Riduzione della pressione al pagamento del riscatto: il 64% delle organizzazioni colpite da ransomware paga almeno una parte della richiesta. ^[3] Il pagamento non garantisce un ripristino completo, le chiavi di decifratura sono spesso incomplete o lente, e ogni pagamento finanzia la campagna successiva degli attaccanti. I gruppi ransomware reinvestono i proventi dei riscatti in strumenti migliori, in un targeting più ampio e in attacchi più sofisticati. Un backup immutabile verificato elimina del tutto la pressione a pagare, che è l’unico esito che non contribuisce al problema.

La differenza tra backup e ripristino

Backup e ripristino vengono spesso trattati come un’unica attività continua, ma sono processi completamente separati, ciascuno con obiettivi, requisiti, responsabili e modalità di guasto differenti.

• Backup è preventivo. Se eseguito correttamente, funziona secondo una pianificazione, crea copie protette e garantisce l’esistenza di una copia sicura e ripristinabile.  
• Il ripristino è reattivo. Si attiva quando i sistemi si guastano o vengono compromessi e affronta la sfida più difficile: se l’ambiente può davvero essere ripristinato entro il tempo che il business può tollerare.

Tipi di backup dei dati

Quando si sceglie un tipo di backup, contano soprattutto due aspetti: quanto è aggiornata la copia ripristinabile e quanto tempo richiede il ripristino. La scelta sbagliata influisce su entrambi e le conseguenze diventano evidenti solo quando serve il ripristino.

Backup completo

Un backup completo copia tutti i dati selezionati a ogni esecuzione. Offre il punto di ripristino più completo e il ripristino più rapido in un unico passaggio. Il compromesso è tra volume di storage e finestra di backup: eseguire un backup completo ogni giorno su un dataset grande richiede molte risorse. La maggior parte delle organizzazioni usa i backup completi come baseline settimanale e sovrappone altri tipi.

Backup incrementale

Un backup incrementale acquisisce solo i dati modificati dall’ultimo backup (completo o incrementale). I requisiti Storage sono minimi e le finestre di backup sono brevi.  

Il ripristino può essere più lento perché può richiedere l’applicazione in sequenza di più punti di ripristino. Per ambienti in cui anche intervalli di backup brevi lasciano gap di perdita dati inaccettabili, la protezione continua dei dati acquisisce le modifiche in modo continuo o a intervalli molto brevi.

Backup differenziale

Un backup differenziale acquisisce tutte le modifiche dall’ultimo backup completo, indipendentemente da quanti differenziali siano stati eseguiti nel frattempo. Il ripristino richiede solo l’ultimo backup completo e il differenziale più recente, quindi è più rapido rispetto ai backup incrementali, ma i requisiti di storage crescono all’aumentare dell’intervallo tra i backup completi.

Backup mirror

Un backup mirror crea una copia in tempo reale dei dati sorgente. Non c’è versioning né storico di conservazione. Se i dati vengono cifrati nell’ambiente sorgente, il mirror riflette immediatamente quella modifica. Senza immutabilità e snapshot point-in-time, un mirror è semplicemente una copia sincronizzata di un ambiente compromesso - non è, da solo, un’opzione di ripristino.

Backup bare-metal

Un backup bare-metal acquisisce un intero sistema: sistema operativo, configurazioni e dati come un’unica immagine ripristinabile. A differenza del backup a livello file, il ripristino bare-metal non richiede un sistema operativo funzionante sul sistema di destinazione. È l’approccio corretto quando un sistema compromesso o guasto deve essere ricostruito completamente su nuovo hardware.

Backup application-aware

I job di backup standard acquisiscono file e volumi. Il backup application-aware acquisisce lo stato interno di applicazioni complesse, i log delle transazioni, le scritture in corso e i metadati applicativi, così un’istanza ripristinata di SQL Server o Exchange risulta coerente, non solo presente. Senza consapevolezza applicativa, un server ripristinato può avviarsi mentre il database sottostante è in uno stato incoerente.

Tipi di ripristino dei dati

Un singolo file eliminato e un evento ransomware che coinvolge un intero sito sono entrambi scenari di perdita dati, ma richiedono risposte di ripristino radicalmente diverse. Il tipo di ripristino corretto dipende da cosa si è guastato e da quanto rapidamente deve tornare operativo.

Le organizzazioni che possono ripristinare da una copia di backup sicura e immutabile riducono l’esposizione alla perdita di dati e accorciano l’interruzione operativa. Il tipo di ripristino determina quanto efficacemente e quanto rapidamente ciò diventa possibile.

Ripristino a livello file

Ripristina singoli file o cartelle da una copia di backup. È l’operazione di ripristino più rapida e mirata, adatta a eliminazioni accidentali o corruzioni localizzate. La maggior parte delle piattaforme di backup consente il ripristino a livello file in pochi minuti.

Ripristino a livello di sistema

Ricostruisce un’intera macchina a partire da un’immagine di backup, ripristinando sistema operativo, configurazioni e dati. Si usa quando un sistema si guasta completamente o deve essere ricostruito, su nuovo hardware o in un ambiente virtualizzato. Spesso viene chiamato “bare metal recovery” quando la destinazione è nuovo hardware.

Ripristino a livello di applicazione 

Ripristina un’applicazione specifica e i suoi dati in uno stato transazionalmente coerente (coerente a livello applicativo). È indispensabile per database, server di posta elettronica e carichi di lavoro in cui la coerenza tra l’applicazione e i dati sottostanti è importante quanto i dati stessi. Ripristinare il server senza mantenere la coerenza applicativa produce un sistema che si avvia ma non funziona correttamente. 

Ripristino di emergenza 

Il ripristino di emergenza (DR) affronta guasti su larga scala, come eventi ransomware su più sistemi, interruzioni estese dell’intero sito o disastri naturali. Ripristina interi ambienti, non solo singoli file o server, e si basa su obiettivi RTO e RPO definiti, runbook documentati e procedure testate e ripetibili. Il DR è un piano, non solo una configurazione di storage. 

Cyber recovery 

Il cyber recovery è una forma specializzata di DR focalizzata sul ripristino di dati sicuri, precedenti all’infezione, dopo un attacco ransomware o malware. La sorgente di ripristino deve essere verificata come priva di malware dormiente prima dell’avvio del recupero, perché ripristinare da una copia di backup compromessa reintroduce l’infezione.  

Il cyber recovery si basa su backup immutabili, insieme a verifiche isolate o in sandbox, per confermare che i punti di ripristino siano sia puliti sia ripristinabili prima di essere reintrodotti in produzione.

Componenti chiave di un piano di backup e ripristino dei dati 

La maggior parte delle organizzazioni dispone di strumenti di backup. Poche hanno un piano di backup completo, ovvero un insieme documentato di impegni con obiettivi definiti, responsabili assegnati e un calendario di test. Senza i seguenti elementi, anche un’architettura di backup tecnicamente solida potrebbe comunque fallire quando conta davvero. 

• Obiettivi RTO e RPO: Recovery Time Objective (RTO) e Recovery Point Objective (RPO) definiscono che cosa significa un ripristino accettabile. L’RTO stabilisce il massimo downtime tollerabile, mentre l’RPO stabilisce la massima perdita di dati accettabile, misurata nel tempo. Entrambi dovrebbero essere definiti per ciascun livello di sistema, non come un unico valore applicato a tutto l’ambiente.  
• Inventario dei dati e pianificazione della protezione: un piano di ripristino è completo solo quanto l’inventario che lo supporta. Ogni sistema, applicazione e sorgente dati che deve essere ripristinabile va identificata, classificata per criticità e associata a una frequenza di backup coerente con il relativo RPO. Le lacune nell’inventario diventano lacune nel ripristino. 
• Architettura Storage (3-2-1-1-0):  tre copie dei dati, su due tipi di storage differenti, con una copia offsite, una copia immutabile e zero errori confermati tramite test. Questo è lo standard attuale per l’architettura di backup per garantire resilienza al ransomware.  
• Controlli Sicurezza:  l’infrastruttura Backup è un obiettivo ad alto valore. I controlli Sicurezza per gli ambienti di backup includono cifratura a riposo e in transito, autenticazione a più fattori sulle console di backup e immutabilità applicata a livello di storage, non tramite una policy che un amministratore può aggirare. Il gold standard è l’Immutabilità Assoluta, ovvero che nemmeno l’amministratore più privilegiato o un attaccante con accesso allo storage di backup possa modificare o eliminare i dati. 
• Ruoli e autorità decisionale: un ripristino che richiede consenso sotto pressione spesso non avviene abbastanza rapidamente. Un piano operativo definisce in anticipo: chi dichiara un evento Disaster Recovery, chi autorizza il ripristino, chi comunica lo stato al business e chi detiene le credenziali di recovery. Documentare tutto prima di un incidente elimina l’attrito decisionale che prolunga il downtime. 
• Runbook di ripristino e calendario dei test:  un runbook documenta i passaggi esatti necessari per ripristinare ciascun sistema critico, nell’ordine corretto, con tempistiche attese. Un calendario dei test pianifica esercitazioni di ripristino regolari, non solo la verifica dei backup, ma il ripristino effettivo dei sistemi in un ambiente isolato. Un piano Disaster Recovery che non è mai stato provato non può essere considerato affidabile quando conta davvero. 

Perché Object First e Veeam sono progettati per il ripristino 

Veeam Backup & Replication fornisce la base operativa per la protezione moderna dei dati. Orchestra i backup tra ambienti on-premises e cloud, gestendo automaticamente diversi tipi di backup—completo, incrementale e application-aware—semplificando al contempo il ripristino, dai singoli file fino a scenari Disaster Recovery completi. 

Supporta inoltre la struttura dei repository richiesta dal 3-2-1-1-0 e automatizza la verifica del ripristino tramite SureBackup, garantendo che i backup siano confermati ripristinabili prima che un incidente imponga la domanda. 

Object First offre storage backup immutabile on-premises progettato specificamente per Veeam. Con l’Immutabilità Assoluta basata sull’architettura Zero Trust, garantisce che i dati di backup non possano essere modificati o eliminati da nessuno, nemmeno dall’amministratore più privilegiato con accesso all’ambiente di storage. 

Per la copia off-site, Veeam Data Cloud Vault fornisce storage cloud gestito e sicuro che semplifica scalabilità e controllo dei costi senza aggiungere infrastruttura da gestire. 

Insieme, questi componenti si allineano direttamente ai requisiti descritti in questa guida: 

• Creazione affidabile dei backup su più tipi di dati e ambienti 
• Ripristino verificato tramite test automatizzati 
• Protezione assolutamente immutabile contro il ransomware 
• Ripristino rapido e flessibile, dal ripristino a livello file al ripristino completo dell’ambiente 

Il risultato è un’architettura 3-2-1-1-0 completa: ripristino locale rapido tramite Object First, integrità verificata tramite Veeam SureBackup e protezione offsite tramite Veeam Data Cloud Vault. 

Scarica il nostro white paper e scopri tre motivi per cui Object First è lo storage migliore per Veeam. 

FAQ 

Quali tipi di sorgenti dati devono tipicamente essere ripristinati? 

Praticamente tutte le sorgenti dati che un’organizzazione protegge possono richiedere un ripristino prima o poi. I target più comuni sono macchine virtuali (VMware, Microsoft, Nutanix), server fisici, database (SQL Server, Oracle, NoSQL), applicazioni SaaS (Microsoft 365, Google Workspace, Salesforce), condivisioni di file, dispositivi NAS, container (Kubernetes) e mainframe.  

Man mano che l’infrastruttura si estende verso edge e ambienti ibridi, anche l’ambito del ripristino si amplia. La priorità assegnata a ciascuna sorgente dati determina i relativi obiettivi di ripristino e la frequenza di backup. 

In cosa il backup differisce da RAID, replica e snapshot? 

Il RAID protegge dai guasti fisici dei dischi distribuendo i dati su più unità. Non crea una copia separata e non offre alcuna protezione contro ransomware, eliminazioni accidentali o corruzione logica. Se i dati vengono cifrati su un array RAID, la modifica si riflette su ogni unità. 

La replica dei dati e le snapshot sono più vicine ai backup, ma mancano di tre proprietà che definiscono i veri backup: immutabilità (i dati possono comunque essere sovrascritti o cifrati), profondità di retention (le snapshot sono in genere di breve durata) e air gap (sia la sorgente sia la destinazione sono di solito online e accessibili allo stesso attaccante). Un backup mantiene una copia separata, versionata e conservata, in grado di sopravvivere a un attacco all’ambiente primario. 

Quali sono le best practice per backup e ripristino? 

La base del backup e ripristino moderni è la regola 3-2-1: mantenere tre copie dei dati, su due tipi di storage differenti, con una copia offsite. Questa si è evoluta nel modello 3-2-1-1-0, che aggiunge una copia immutabile e zero errori verificati tramite test.  

Oltre all’architettura, le best practice includono: definire RTO e RPO per sistema, applicare l’immutabilità a livello di storage, isolare gli ambienti di backup dall’accesso di produzione e testare regolarmente il ripristino tramite esercitazioni di restore completo. Un backup è efficace solo se se ne può dimostrare la ripristinabilità in condizioni reali. 

Che cos’è il backup per il ripristino di emergenza? 

Il backup per il ripristino di emergenza si riferisce alle copie dei dati e alle procedure di ripristino utilizzate per recuperare i sistemi dopo un guasto su larga scala, come un attacco ransomware, un’interruzione estesa dell’intero sito o un disastro naturale.  

A differenza del ripristino a livello file, Disaster Recovery ripristina interi sistemi, reti e applicazioni a uno stato operativo definito. Richiede obiettivi RTO e RPO documentati, runbook testati ed esercitazioni regolari per confermare che il ripristino sia realizzabile entro la finestra temporale richiesta. 

Con quale frequenza dovrebbero essere eseguiti i backup dei dati? 

La frequenza dei backup Backup dipende dall’RPO: la quantità di perdita di dati accettabile per un determinato sistema. Database critici e server di posta elettronica in genere richiedono backup ogni 15–60 minuti, oppure protezione continua dei dati quando è richiesta una perdita di dati prossima allo zero.  

Le condivisioni di file meno critiche possono eseguire job giornalieri o settimanali. La frequenza va impostata per livello di sistema, allineata ai requisiti di business, non applicata in modo uniforme a tutto l’ambiente.

Che cos’è un software di backup e ripristino dei dati? 

Il software di Backup dei dati e ripristino gestisce la creazione, l’archiviazione e il ripristino delle copie di backup. Gestisce pianificazione, deduplicazione, compressione, cifratura e orchestrazione del ripristino.  

Negli ambienti moderni, il software di backup applica anche l’immutabilità sui target di storage supportati e automatizza la verifica del ripristino tramite test in sandbox. Veeam Backup & Replication è la piattaforma leader in questa categoria per carichi di lavoro virtuali, fisici e cloud—e automatizza orchestrazione e verifica del ripristino per garantire che i dati possano essere ripristinati in modo affidabile quando necessario. 

I piani di backup e ripristino possono prevenire gli attacchi ransomware? 

I piani di Backup e ripristino non impediscono al ransomware di entrare in un ambiente; a farlo sono la protezione degli endpoint, il monitoraggio di rete e i controlli di accesso. Un piano di backup elimina la leva su cui si basano gli attacchi ransomware.  

Il ransomware funziona cifrando i dati e creando pressione per pagare. Un’organizzazione con un backup immutabile verificato può ripristinare senza pagare. Un piano Recupero dati da ransomware ben testato è il modo più affidabile per sopravvivere a un attacco senza finanziare il successivo. 

Perché archivio immutabile è importante per backup e ripristino? 

Gli operatori ransomware prendono di mira i repository di backup prima di attivare la cifratura, proprio per distruggere le opzioni di ripristino prima che l’attacco diventi visibile.  

Lo storage immutabile lo impedisce rendendo i dati di backup immutabili per un periodo di retention definito, indipendentemente da chi tenti di modificarli o eliminarli, inclusi gli amministratori con accesso completo al sistema. Senza immutabilità, un backup archiviato su un’infrastruttura accessibile può essere cifrato insieme ai dati di produzione, lasciando nessuna copia sicura da cui ripristinare.

[1] Object First. "Object First Survey: 89 Percent of IT Leaders Fear AI-Powered Cyberattacks Will Cost Them Their Data." 2026. https://objectfirst.com/newsroom/press-releases/object-first-survey-89-percent-of-it-leaders-fear-ai-powered-cyberattacks-will-cost-them-their-data/ 

[2] Sophos. "State of Ransomware 2025." 2025. https://www.sophos.com/en-us/whitepaper/state-of-ransomware 

[3] Veeam. "Data Backup and Recovery." 2024. https://www.veeam.com/blog/data-backup-recovery.html