Negli ultimi 24 mesi le PMI italiane hanno vissuto un’accelerazione brutale della minaccia ransomware: secondo i dati Garante Privacy 2024-2025, le segnalazioni di data breach con cifratura/exfiltration sono quadruplicate. Le richieste di riscatto medie per PMI sotto i 100 dipendenti sono passate da ~50.000€ (2022) a ~180.000€ (2025). Il 70% delle PMI italiane colpite paga il riscatto perché non ha backup recovery affidabile — e di quelle che pagano, il 35% non recupera comunque tutti i dati.
La strategia backup + disaster recovery non è più optional. È sopravvivenza aziendale. Vediamo il framework completo aggiornato 2026 per PMI italiane 20-200 dipendenti, con scelte concrete su Veeam vs Microsoft 365 Backup, RTO/RPO target realistici, e costi attesi.
Le 4 minacce ai dati delle PMI italiane
Prima di scegliere strumenti, identificare cosa proteggere:
| Minaccia | Frequenza PMI italiana | Impatto tipico |
|---|---|---|
| Ransomware | 1 incidente serio ogni 24 mesi (PMI 50+ dip.) | 5-30 giorni di down + perdita dati + riscatto |
| Cancellazione accidentale | Quasi quotidiana (singolo file) | Recupero file singolo entro 24-48h |
| Hardware failure | 1 server / disco fallisce ogni 3-5 anni | 1-3 giorni di down se senza backup |
| Dipendente malintenzionato | 1-2% delle PMI/anno (employee exfiltration) | Variabile, da data breach minore a esfiltrazione grave |
La strategia backup deve gestire TUTTI E 4 i casi. Una strategia che protegge solo dai 3 primi (hardware failure + cancellazione + ransomware) ma lascia scoperto il rischio “insider threat” è incompleta.
Il framework 3-2-1 (e perché 3-2-1-1-0 nel 2026)
Storicamente la regola 3-2-1 è il gold standard del backup:
- 3 copie dei dati (1 primaria + 2 backup).
- 2 supporti diversi (es. NAS + cloud).
- 1 copia off-site (geograficamente separata dalla sede aziendale).
Nel 2026 con ransomware sofisticato la regola si è estesa a 3-2-1-1-0:
- 3 copie + 2 supporti + 1 off-site (come sopra).
- 1 immutabile (copia che non può essere modificata o cancellata, nemmeno dall’admin — protezione anti-ransomware).
- 0 errori verificati nelle ultime 30 prove di restore.
L’ultimo punto è quello che spesso manca nelle PMI italiane: il backup esiste ma NESSUNO HA MAI PROVATO A RIPRISTINARLO. Risultato: backup corrotto / format incompatibile → recovery fallisce quando serve.
RTO e RPO target realistici per PMI italiana
Due metriche fondamentali:
- RTO (Recovery Time Objective): quanto tempo posso accettare di essere down? “1 ora”? “1 giorno”? “1 settimana”?
- RPO (Recovery Point Objective): quanti dati posso perdere? “Ultima ora”? “Ultimo giorno”? “Ultima settimana”?
Target tipici per PMI italiane (post-ransomware reale):
| Tipo dato | RTO target | RPO target | Costo strategia |
|---|---|---|---|
| Email + calendario + OneDrive | 4 ore | 1 ora | Medio (Veeam M365 / Microsoft Backup) |
| File server / SharePoint aziendale | 8 ore | 4 ore | Medio |
| Database gestionale (Business Central, ERP) | 4 ore | 1 ora | Alto (replica DB attiva) |
| File personali utente (OneDrive cache locale) | 24 ore | 24 ore | Basso (gestito da OneDrive sync nativo) |
| Server Windows / VM | 24 ore | 12 ore | Medio (Veeam B&R) |
| Backup storico 7-10 anni (compliance) | 7 giorni | N/A (immutable) | Basso (cloud archive) |
Regola pratica: più basso il target RTO/RPO, più costa la soluzione. Calibrare in base al rischio reale del business.
Strumento 1 — Backup endpoint Microsoft 365 (Veeam vs Microsoft Backup)
Le PMI italiane su Microsoft 365 NON hanno backup nativo affidabile — il “Recycle Bin” M365 conserva file 30 giorni (estendibili a 93), email 30 giorni in Deleted Items. Niente immutabilità. Niente recovery granulare per oggetti specifici. Backup di terze parti è obbligatorio.
Veeam Backup for Microsoft 365
Pro:
- Tool maturo (10+ anni nel mercato), trust enterprise.
- Backup completo: Exchange Online + SharePoint + OneDrive + Teams chat.
- Restore granulare: singolo messaggio email, singolo file, singolo team chat.
- Self-hosted: appliance Veeam dentro il tuo perimetro IT.
- Pricing ~3-4€/utente/mese per PMI italiana.
Contro:
- Richiede setup appliance Veeam (server fisico o VM Azure).
- Manutenzione ricorrente (update, monitoring backup jobs, retention policy).
Quando preferirlo: PMI con IT interno strutturato che vuole controllo totale.
Microsoft 365 Backup (nativo Microsoft, 2024+)
Pro:
- Soluzione first-party (zero setup, zero appliance).
- Restore “in-place” molto rapido (15-30 minuti vs ore di Veeam).
- Integrazione completa con Defender XDR per scenario ransomware.
Contro:
- Pricing alto: ~$0.15/GB/mese protetto. Per PMI 50 utenti × 30 GB cad = 1.500 GB → ~225$/mese (~2.700$/anno).
- Retention max 365 giorni (vs Veeam che supporta retention illimitata).
- Niente restore granulare per Teams chat (limite noto).
Quando preferirlo: PMI senza IT interno che vuole solution “managed” con tempi recovery rapidissimi.
Confronto completo: vedi Backup Microsoft 365 12 soluzioni a confronto.
Decisione consigliata per PMI italiana media (50 utenti)
- 20-50 utenti: Veeam Backup for M365 (~150€/mese, controllo totale).
- 50-150 utenti: Veeam OR Microsoft 365 Backup (decisione su preferenza managed vs self-hosted).
- 150+ utenti: Microsoft 365 Backup + Veeam complementare per workload critici (es. legal/sanitari).
Strumento 2 — Backup server Windows / VM / database
Per workload non-M365 (server gestionali on-prem, VM Hyper-V, file server, database SQL/PostgreSQL/MySQL): Veeam Backup & Replication resta il leader di mercato per PMI italiane.
Setup base:
- Repository backup: NAS Synology o QNAP (10-50 TB) in sede aziendale.
- Backup primario: full settimanale + incrementali giornalieri sul repository NAS.
- Replica off-site: backup copiato su Azure Blob Storage / Backblaze B2 / AWS S3 (immutable bucket S3 Object Lock).
- Retention: ultime 4 settimane locale + 12 mesi off-site + 7 anni archive (per compliance).
Pricing tipico:
- Veeam B&R licenze 10 VM: ~2.500€/anno.
- NAS Synology 50 TB: ~3.000€ una-tantum + ~150€/anno manutenzione.
- Azure Blob Storage off-site 5 TB: ~80€/mese = ~1.000€/anno.
Totale anno 1: ~6.500€. Anni successivi: ~3.700€/anno.
Strumento 3 — Backup endpoint (laptop / desktop utenti)
Per PMI italiane su Microsoft 365: la strategia consigliata è NON fare backup degli endpoint. Pattern:
- OneDrive Known Folder Move (KFM) attivato per tutti gli utenti: cartelle Desktop, Documenti, Immagini sincronizzate automaticamente su OneDrive cloud.
- Il backup dell’endpoint = backup del OneDrive cloud (gestito centralmente con Veeam M365).
- Se PC si rompe / viene rubato → nuovo PC + Intune Autopilot + login utente → cartelle ripristinate in 20 minuti.
Niente Veeam Agent per endpoint, niente backup tradizionale dei PC. Pattern ZeroTouch moderno.
Eccezione: utenti con grandi dataset locali (es. designer con file Photoshop multi-GB, sviluppatori con repo Git, controller con database locali). Per loro Veeam Agent dedicato vale la pena.
Disaster Recovery: oltre il backup
Il backup è una copia dei dati. Il disaster recovery è la capacità di tornare operativi dopo un disastro. Sono cose diverse.
Scenari DR da pianificare
| Scenario | Azione | Tempo recovery |
|---|---|---|
| Singolo file cancellato | Restore da Veeam | <30 min |
| Server gestionale guasto | Failover su VM secondaria | 1-4 ore |
| Ransomware su tutto file server | Wipe + restore + verifica | 1-3 giorni |
| Incendio / alluvione sede principale | Failover sede secondaria + ripristino off-site | 3-7 giorni |
| Tenant Microsoft 365 compromesso | Recovery da backup + reset tenant | 5-10 giorni |
Piano DR documentato
Ogni PMI italiana 20+ dipendenti dovrebbe avere un Disaster Recovery Plan scritto, con:
- Lista contatti emergenza (CEO, IT manager, fornitori critici).
- Procedure step-by-step per ogni scenario.
- RPO/RTO per ogni sistema.
- Lista accessi fisici (chiavi server room, password vault).
- Backup di emergenza dei backup (vault offline con master credentials).
Pattern testato: il piano DR di 1 pagina A3 plastificato + appeso in sede di IT manager + copia digitale fuori azienda. Aggiornato semestralmente.
Test DR — il punto più trascurato
⚠️ Errore #1 delle PMI italiane: il backup esiste ma nessuno l’ha mai testato.
Pattern consigliato:
- Test parziale mensile: restore di 1 file random da backup (5-15 minuti).
- Test full annuale: simulazione disaster completo (1 weekend, isolato dal production).
- Documentazione test: data, esito, tempo effettivo vs RTO target, problemi riscontrati.
Senza test ricorrenti, la prima volta che serve il backup scopri che è corrotto / format incompatibile / chiavi cifratura perse / procedure dimenticate.
Caso d’uso reale: PMI 50 dipendenti recovery ransomware
Vedi nostro caso studio PMI 50 dip. — recovery completo ransomware con Veeam.
Sintesi:
- Attacco ransomware sabato notte: cifrati 4 server + tutte le condivisioni file.
- Restore dal backup Veeam off-site iniziato domenica mattina.
- Lunedì pomeriggio: 80% dei sistemi tornati operativi.
- Martedì sera: 100% operativi. Zero pagamento riscatto. Zero dati persi.
Costo recovery: ~12.000€ (consulenza esterna 3 giorni + ore overtime IT interno + analisi forense). Costo riscatto evitato: stimato 150-200.000€.
ROI assicurazione backup: ottimo. Senza backup off-site immutable la PMI avrebbe pagato il riscatto + comunque perso 2-3 settimane di down.
Costi totali strategia backup + DR per PMI italiana
PMI 50 utenti + 4 server + 2 sedi:
| Voce | Costo annuo |
|---|---|
| Veeam Backup for M365 (50 utenti) | ~2.000€ |
| Veeam Backup & Replication (server) | ~2.500€ |
| NAS Synology 50 TB + manutenzione | ~600€ (annuo, dopo investimento iniziale 3.000€) |
| Azure Blob Storage off-site (immutable) | ~1.500€ |
| Monitoring + test DR (parte del servizio gestito IT) | ~3.000€ |
Totale annuo: ~9.600€. Anno 1 (con investimento NAS): ~12.600€.
Per PMI 50 utenti = ~192€/utente/anno = 16€/utente/mese. Confronto: costo medio incidente ransomware per PMI italiana = ~180k€. Break-even del backup = 1 incidente evitato in 18 anni. ROI ovvio.
Quando ha senso un servizio gestito completo
Setup + monitoring + test backup/DR completo richiede competenze multi-skill (Veeam + Azure + Microsoft 365 + procedure DR). Per PMI italiane sotto i 100 dipendenti senza team IT dedicato, è il caso d’uso tipico dei nostri servizi combinati: Assistenza Microsoft 365 gestita + Assistenza Cybersecurity gestita.
Pattern erogazione SynSphere:
- Setup iniziale Veeam + Azure off-site (~4-6 settimane).
- Monitoring 24/7 dei backup jobs (alert su failure).
- Test DR semestrale documentato.
- Incident response in caso di ransomware (SLA 2h on-site + 24h recovery iniziato).
Per discovery gratuita sulla tua strategia backup attuale + assessment maturity, parla con un nostro consulente.