Il panorama digitale del 2025 non lascia spazio a leggerezze: i ransomware non si limitano più a cifrare i dati di produzione ma cercano con insistenza di colpire direttamente i repository di backup, consapevoli che lì si trova l’ultima linea di difesa delle organizzazioni. I costi medi di un data breach restano elevati, superando le centinaia di migliaia di euro per incidente, e la normativa europea ha innalzato l’asticella con la direttiva NIS2, che richiede procedure documentate di continuità operativa e ripristino. In questo scenario, il backup non è più un’opzione accessoria, bensì una componente della cyber-resilience di imprese e privati.
La vecchia regola 3-2-1 (tre copie dei dati, due supporti differenti e una off-site) si è evoluta nel modello 3-2-1-1-0: accanto alle copie tradizionali viene introdotto un backup immutabile o offline, inaccessibile alla rete, e l’obiettivo di zero errori verificati tramite test di restore. Questa estensione risponde alla realtà degli attacchi moderni, in cui gli aggressori tentano di cancellare o corrompere le copie di sicurezza per aumentare il potere di ricatto. Oggi non basta più avere un backup, occorre che sia invulnerabile e periodicamente sottoposto a simulazioni di ripristino che garantiscano la sua effettiva integrità.
Organismi come ENISA, NIST e le autorità nazionali per la sicurezza informatica ribadiscono che i backup vanno concepiti come sistemi multilivello, con copie online per il recupero veloce, copie immutabili per la protezione contro i ransomware e copie offline per gli scenari catastrofici. Non meno importante è la verifica periodica dei dati archiviati: un backup non testato non ha alcun valore, perché la certezza si ottiene solo con prove di restore documentate e con controlli automatici di integrità basati su hash crittografici.
NAS e cloud: architetture a confronto
I NAS di ultima generazione non sono più semplici dispositivi di archiviazione ma veri sistemi di gestione dei dati. Grazie a file system come Btrfs o ZFS, garantiscono snapshot istantanei, replica site-to-site e strumenti di versioning che permettono di tornare indietro a uno stato precedente con estrema rapidità. Alcuni produttori hanno introdotto funzionalità WORM (Write Once Read Many) che rendono le cartelle immutabili per un periodo prestabilito, impedendo modifiche o cancellazioni anche da parte degli amministratori. Per studi professionali, piccole imprese o famiglie, un NAS ben configurato è un baluardo immediato, con tempi di ripristino ridotti e costi contenuti.
Dall’altro lato, i servizi di cloud storage offrono livelli di durabilità che nessun’infrastruttura privata potrebbe raggiungere. Provider come Amazon, Microsoft e Google dichiarano fino a 11 nove di durabilità annua, con replica geografica automatica e protezione integrata contro guasti hardware. Il cloud introduce inoltre la possibilità di sfruttare funzioni avanzate come Object Lock, che trasforma il bucket in un archivio immutabile, e il versioning, che consente di recuperare dati anche dopo cancellazioni accidentali. Non meno rilevante è la disponibilità di classi di storage differenziate, che permettono di bilanciare costi e tempi di accesso.
La tendenza più solida del 2025 è però l’approccio ibrido, che combina il meglio dei due mondi. I dati vengono conservati localmente su un NAS per i ripristini immediati e replicati in cloud con politiche di immutabilità e retention. In questo modo si ottiene un compromesso fra velocità di recupero, resilienza geografica e costi di gestione, riducendo il rischio che un singolo evento – sia esso un incendio, un furto o un attacco informatico – possa compromettere la sopravvivenza dei dati.
Crittografia e gestione delle chiavi
Nel 2025 nessun backup può considerarsi sicuro se non è cifrato. I dati vanno protetti sia in transito che a riposo, con algoritmi moderni come AES-256 e protocolli di comunicazione sicuri come TLS 1.3. La crittografia non è più un optional ma una condizione di base per rispettare normative come il GDPR, che all’articolo 32 indica esplicitamente la cifratura come misura di protezione dei dati personali.
Il punto non è tanto l’algoritmo quanto la gestione delle chiavi crittografiche. I principali cloud provider offrono sistemi KMS per la gestione centralizzata, con la possibilità di utilizzare chiavi gestite dal cliente (CMEK) o depositate in moduli hardware di sicurezza (HSM). Le realtà più esigenti possono ricorrere alla cifratura client-side, in cui i dati vengono cifrati prima di lasciare i sistemi interni e le chiavi non vengono mai condivise con il provider. In questo modo anche un attacco o una violazione ai sistemi del cloud non comprometterebbe la riservatezza dei dati.
La crittografia porta con sé una sfida delicata: il rischio di perdita delle chiavi. Senza procedure di rotazione, escrow e backup delle chiavi stesse, i dati cifrati possono diventare irrecuperabili. Per questo motivo i professionisti della sicurezza raccomandano un piano strutturato di key management, con ruoli separati per ridurre i conflitti di interesse e con registri di audit che traccino ogni accesso o utilizzo delle chiavi. È un livello di disciplina che spesso fa la differenza tra una cifratura di facciata e una protezione realmente efficace.
