Quasi tutte le PMI italiane hanno un backup. Pochissime hanno un piano di Disaster Recovery (DR) — il documento che dice chi fa cosa, in che ordine ed entro quanto tempo quando i sistemi si fermano. La differenza si vede nel momento peggiore: l’azienda con il solo backup scopre — mentre è ferma — che nessuno aveva mai provato a ripristinarlo; l’azienda con un piano DR testato torna operativa in ore, non in settimane.
Questa guida spiega cosa deve contenere un piano DR utile per una PMI, e ti mette a disposizione un template Word gratuito già strutturato.
Backup ≠ Disaster Recovery
Sono due cose diverse e complementari:
- Il backup è una copia dei dati.
- Il Disaster Recovery è la capacità di tornare operativi dopo un disastro: procedure, ruoli, priorità, tempi.
Avere copie dei dati senza un piano è come avere un estintore senza sapere dove sia né come si usa.
I due numeri che reggono tutto: RTO e RPO
Prima di scrivere qualsiasi procedura, definisci per ogni sistema:
- RTO (Recovery Time Objective): quanto tempo puoi accettare di restare fermo. “1 ora”? “1 giorno”?
- RPO (Recovery Point Objective): quanti dati puoi permetterti di perdere. “L’ultima ora”? “L’ultimo giorno”?
Più bassi i target, più costa la soluzione. Per questo si calibrano per sistema, non in modo uniforme:
| Sistema | RTO tipico | RPO tipico |
|---|---|---|
| Email / Microsoft 365 | 4 ore | 1 ora |
| File server / SharePoint | 8 ore | 4 ore |
| Gestionale / ERP | 4 ore | 1 ora |
| File personali utente | 24 ore | 24 ore |
Cosa deve contenere il piano (le 10 sezioni)
Il template Word segue questa struttura collaudata:
- Scopo e ambito — quali sistemi copre il piano.
- Definizioni — RTO, RPO, incidente, DR Team (così tutti parlano la stessa lingua).
- Ruoli e contatti di emergenza — chi attiva il piano, chi ripristina, chi comunica. Con i numeri di telefono, disponibili anche offline.
- Inventario dei sistemi critici — la tabella RTO/RPO per ogni sistema, con le dipendenze.
- Scenari di disastro coperti — ransomware, guasto hardware, cancellazione accidentale, incendio/allagamento, outage del cloud provider.
- Strategia di backup (3-2-1-1-0) — vedi sotto.
- Procedure di ripristino — passo-passo, con una procedura dedicata al ransomware.
- Comunicazione ed escalation — chi informa clienti, fornitori e, in caso di data breach, il Garante entro 72 ore.
- Test del piano — il punto più trascurato (vedi sotto).
- Manutenzione e revisione — chi tiene aggiornato il documento e ogni quanto.
La regola 3-2-1-1-0
Lo standard di backup aggiornato all’era ransomware:
- 3 copie dei dati
- 2 supporti diversi
- 1 copia off-site
- 1 copia immutabile (non cancellabile nemmeno dall’amministratore — è ciò che salva dal ransomware)
- 0 errori verificati negli ultimi test di ripristino
L’errore numero uno: non testare mai
Il backup esiste, ma nessuno l’ha mai ripristinato. Risultato: la prima volta che serve si scopre che è corrotto, in un formato incompatibile, o che mancano le chiavi di cifratura.
Il template include un calendario di test minimo:
- Mensile: restore di un singolo file (5-15 minuti).
- Annuale: simulazione di disastro completo (un weekend, isolato dalla produzione).
- Semestrale: verifica che i contatti del DR Team siano ancora validi.
Documenta sempre data, esito e tempo effettivo rispetto all’RTO obiettivo.
Come compilare il template
- Parti dall’inventario (sezione 4): elenca i sistemi e assegna RTO/RPO realistici in base al rischio per il business.
- Compila i contatti (sezione 3) e stampali: in un’emergenza la rete potrebbe non esserci.
- Adatta gli scenari (sezione 5) alla tua realtà (hai una sola sede? il cloud è critico?).
- Descrivi le procedure (sezione 7) con passi concreti, non generici.
- Fissa subito le date dei primi test (sezione 9). Un piano non testato vale poco.
Scarica il template
👉 Template Word: piano di Disaster Recovery — gratuito, con tabelle pronte per inventario, scenari, contatti e calendario test. Fac-simile operativo da adattare alla tua infrastruttura.
Quando serve un supporto
Definire RTO/RPO realistici, implementare backup immutabili e testare il ripristino richiede competenze coordinate (Veeam/Microsoft 365 Backup, Azure, procedure DR). Per PMI senza un IT interno strutturato è il caso tipico di un servizio gestito: vedi Assistenza Cybersecurity gestita e l’approfondimento Backup e Disaster Recovery 2026 post-ransomware.
Per un assessment della tua strategia di backup attuale, parla con un nostro consulente.