I dati sono il cuore della tua azienda. Un guasto al server, un attacco ransomware o un errore umano possono cancellare anni di lavoro in pochi secondi. La regola 3-2-1 è da decenni lo standard per il backup, ma nel 2026 non basta più. La versione evoluta 3-2-1-1-0 aggiunge due elementi cruciali per proteggere i dati aziendali dalle minacce moderne. In questa guida ti spieghiamo ogni numero della regola e come implementarla nella tua azienda.
Indice dei Contenuti
- 1. La Regola 3-2-1 Originale
- 2. Perché nel 2026 Serve la Versione 3-2-1-1-0
- 3. Ogni Numero Spiegato nel Dettaglio
- 4. Come Implementarla nella Tua Azienda
- 5. Gli Errori Più Comuni nel Backup Aziendale
- 6. RPO e RTO: Quanto Tempo Puoi Permetterti di Stare Fermo?
- 7. Soluzioni Veeam + Cloud BullTech
- 8. Domande Frequenti
La Regola 3-2-1 Originale
La regola 3-2-1 è stata formulata dal fotografo Peter Krogh ed è diventata lo standard de facto per la protezione dei dati. Il concetto è semplice:
- 3 copie dei dati (l'originale + 2 copie di backup)
- 2 supporti diversi (es. disco locale + NAS, oppure server + tape)
- 1 copia offsite (in una sede diversa, per proteggere da disastri fisici)
Questa regola ha protetto milioni di aziende per oltre 20 anni ed è ancora valida come fondamento. Tuttavia, le minacce del 2026 hanno reso necessaria un'evoluzione.
Perché nel 2026 Serve la Versione 3-2-1-1-0
La regola 3-2-1 originale non teneva conto di due minacce che oggi sono prevalenti:
Il ransomware cerca attivamente i tuoi backup
I ransomware moderni non si limitano a criptare i dati di produzione: cercano e distruggono anche i backup collegati alla rete. Se il tuo backup è su un NAS raggiungibile dalla rete aziendale, il ransomware lo cripterà insieme a tutto il resto. Nel 2025, il 93% degli attacchi ransomware ha preso di mira specificamente i repository di backup (fonte: Veeam Data Protection Trends 2025).
La seconda lacuna riguarda la verifica dei backup. Avere tre copie dei dati è inutile se al momento del ripristino scopri che i backup sono corrotti, incompleti o inutilizzabili. Un problema più comune di quanto si pensi: il 37% delle aziende che tenta un ripristino da backup scopre errori durante il processo.
Ogni Numero della Regola 3-2-1-1-0
3 Copie dei Dati
Mantieni sempre almeno 3 copie dei tuoi dati: l’originale (dati di produzione) più 2 copie di backup. Questo protegge dalla probabilità statistica di guasto simultaneo: se un singolo disco ha una probabilità di guasto dell’1%, tre copie indipendenti hanno una probabilità di perdita simultanea dello 0,0001%. Per i dati più critici, alcune aziende mantengono 4 o più copie.
2 Supporti Diversi
Le copie devono risiedere su supporti fisicamente diversi: disco locale + NAS, oppure server + cloud, oppure SSD + tape. Se tutte le copie sono sullo stesso tipo di storage, un difetto del produttore o un bug firmware potrebbe comprometterle tutte simultaneamente. La diversificazione dei supporti è una protezione fondamentale contro i guasti correlati.
1 Copia Offsite
Almeno una copia deve trovarsi fisicamente in un luogo diverso dalla sede aziendale. Incendi, alluvioni, furti o blackout prolungati possono distruggere tutti i dispositivi nella stessa sede. La copia offsite può essere in cloud, in un data center, o in una seconda sede aziendale. Il cloud è la soluzione più pratica e sicura per la maggior parte delle PMI.
1 Copia Immutabile
NOVITÀ rispetto alla 3-2-1: almeno una copia deve essere immutabile, ovvero non modificabile né cancellabile per un periodo definito, nemmeno con credenziali di amministratore. Questo è l’unico modo per proteggere i backup dal ransomware. Le soluzioni includono: Veeam Hardened Repository su Linux, cloud storage con Object Lock (S3, Azure Blob), tape offline (air-gapped). L’immutabilità è la difesa definitiva contro gli attacchi che prendono di mira i backup.
0 Errori di Ripristino Verificati
NOVITÀ: ogni backup deve essere verificato attraverso test di ripristino regolari, con l’obiettivo di zero errori. Un backup non testato è una scommessa, non una protezione. Veeam SureBackup automatizza questo processo: avvia le VM dal backup in un ambiente sandbox, verifica che i servizi rispondano e produce un report. I test di ripristino vanno eseguiti almeno trimestralmente per i dati critici.
Come Implementare la Regola 3-2-1-1-0 nella Tua Azienda
Ecco un piano di implementazione pratico per una PMI tipica con un server, 20-50 postazioni e 1-5 TB di dati:
Copia 1: Backup Locale su NAS/Appliance Dedicata
Installa un NAS dedicato al backup (non condiviso con altri scopi) collegato alla rete ma con accesso limitato al solo software di backup. Configura Veeam Backup & Replication per eseguire backup incrementali ogni 4-8 ore e backup completi settimanali. Il NAS deve avere capacità sufficiente per mantenere almeno 30 giorni di retention.
Copia 2: Replica Cloud (Offsite + Immutabile)
Configura Veeam Cloud Connect per replicare i backup su un cloud repository gestito. Abilita l'immutabilità sui backup cloud con retention di almeno 30 giorni. Questa copia soddisfa contemporaneamente il requisito offsite (fuori sede) e immutabile (non modificabile dal ransomware). La crittografia AES-256 protegge i dati in transito e a riposo.
Copia 3: Backup di Microsoft 365 / Google Workspace
Se utilizzi servizi cloud per email e documenti, configura un backup dedicato con Veeam Backup for Microsoft 365. Molte aziende trascurano questo aspetto, credendo erroneamente che Microsoft o Google proteggano i loro dati. Non è così: il modello di responsabilità condivisa lascia a te la responsabilità dei tuoi dati.
Gli Errori Più Comuni nel Backup Aziendale
Non testare mai i ripristini
Il 37% dei ripristini da backup fallisce. Se non testi regolarmente, scoprirai il problema nel momento peggiore: quando hai davvero bisogno dei dati.
Backup solo su disco locale collegato alla rete
Il ransomware lo troverà e lo cripterà. Senza una copia offsite e immutabile, un singolo attacco può distruggere dati e backup contemporaneamente.
Non fare backup di Microsoft 365 / Google Workspace
I servizi cloud non fanno backup per te. Cancellazioni accidentali, ransomware, errori di sincronizzazione: senza backup dedicato, i dati possono essere persi definitivamente.
Retention troppo breve
Se il ransomware resta dormiente per 2 settimane prima di attivarsi e il tuo backup ha solo 7 giorni di retention, non hai copie pulite da cui ripristinare.
Nessun monitoraggio dei job di backup
Un backup che fallisce silenziosamente per settimane è peggio di non avere backup: ti dà una falsa sicurezza. Il monitoraggio automatizzato con alert è essenziale.
RPO e RTO: Quanto Tempo Puoi Permetterti di Stare Fermo?
Due metriche fondamentali guidano la progettazione del tuo backup:
RPO (Recovery Point Objective)
Quanti dati puoi permetterti di perdere? Se il tuo RPO è 4 ore, devi fare backup almeno ogni 4 ore. Per un e-commerce con ordini continui, il RPO potrebbe essere 15 minuti. Per un archivio documentale, 24 ore possono bastare. Definisci il RPO per ogni sistema critico.
RTO (Recovery Time Objective)
Quanto tempo puoi restare fermo? Se il tuo RTO è 2 ore, devi essere in grado di ripristinare i sistemi entro 2 ore dal disastro. Questo determina la tecnologia necessaria: un RTO di 4+ ore può essere soddisfatto con backup tradizionale. Un RTO di 15 minuti richiede replica real-time o instant VM recovery.
Per approfondire la business continuity e la pianificazione del disaster recovery, consulta il nostro servizio di backup e disaster recovery e la pagina dedicata alla business continuity aziendale.
Soluzioni Veeam + Cloud BullTech
BullTech Informatica è partner certificato Veeam e offre soluzioni di backup aziendale complete basate sulla regola 3-2-1-1-0:
Veeam Backup & Replication per server fisici, virtuali (VMware, Hyper-V) e cloud
Veeam Cloud Connect con repository immutabile su data center italiano certificato
Veeam Backup for Microsoft 365 per email, SharePoint, OneDrive e Teams
Monitoraggio 24/7 di tutti i job di backup con alert immediati in caso di errori
Test di ripristino trimestrali documentati (SureBackup automatizzato)
Disaster Recovery as a Service (DRaaS) per RTO inferiori a 1 ora
Reportistica mensile sullo stato dei backup e sulla compliance
Con BullTech, il tuo backup non è solo configurato: è gestito, monitorato e testato continuamente. Scopri il nostro servizio completo di soluzioni cloud aziendali per una protezione dati a 360 gradi.
Domande Frequenti
Ogni quanto devo fare il backup dei dati aziendali?
La frequenza del backup dipende dal tuo RPO (Recovery Point Objective), ovvero quanti dati puoi permetterti di perdere. Per la maggior parte delle PMI, un backup incrementale ogni 4-8 ore è un buon compromesso. Per dati critici (ERP, database clienti, email), si può arrivare a backup continui ogni 15-30 minuti. I backup completi (full) vengono tipicamente eseguiti settimanalmente, con incrementali giornalieri e differenziali intermedi. La regola d’oro: se perdere X ore di dati ti costa più del backup, aumenta la frequenza.
Il cloud backup è sicuro per i dati aziendali?
Sì, il cloud backup è sicuro se implementato correttamente. Le soluzioni professionali come Veeam Cloud Connect utilizzano crittografia AES-256 sia in transito (TLS 1.3) che a riposo. I dati vengono archiviati in data center certificati ISO 27001 e SOC 2, con ridondanza geografica. Il cloud backup offre inoltre vantaggi che lo storage locale non ha: protezione da disastri fisici (incendio, alluvione), immutabilità dei dati contro il ransomware e accessibilità da qualsiasi sede. La chiave è scegliere un provider affidabile e configurare correttamente la crittografia e le policy di accesso.
Quanto costa un backup aziendale professionale?
Il costo dipende dal volume di dati, dalla frequenza dei backup e dal livello di servizio. Per una PMI con 1-5 TB di dati, il costo di un backup gestito professionale (monitorato, testato, con disaster recovery) si aggira tra i 200 e i 600 euro al mese. Include: licenza software (Veeam), storage locale (NAS o appliance dedicata), replica cloud, monitoraggio 24/7 e test di ripristino periodici. È un investimento che va confrontato con il costo della perdita dati: il ripristino dopo un ransomware senza backup costa mediamente 10-50 volte di più.
Come verifico che i backup funzionino realmente?
Il modo più efficace è il test di ripristino periodico. Ogni trimestre (o mensilmente per dati critici), si deve eseguire un ripristino reale di un campione di dati e verificare che siano integri, completi e utilizzabili. Veeam offre la funzione SureBackup che automatizza questo processo, avviando le VM dal backup in un ambiente sandbox isolato e verificando che i servizi rispondano correttamente. Oltre ai test manuali, il monitoraggio automatizzato verifica quotidianamente che i job di backup completino senza errori e che le dimensioni siano coerenti. È il ’0’ della regola 3-2-1-1-0: zero errori di ripristino verificati.
Cosa succede ai miei dati in caso di attacco ransomware?
Con una strategia 3-2-1-1-0 correttamente implementata, un attacco ransomware non può compromettere i tuoi backup. Ecco perché: la copia immutabile (il ‘1’ della regola) non può essere modificata o cancellata nemmeno con credenziali di amministratore. I ransomware moderni cercano attivamente i backup per criptarli, ma una copia immutabile su storage air-gapped o su cloud con object lock è immune. In caso di attacco, si ripristinano i dati dall’ultima copia immutabile verificata, riducendo il tempo di ripristino a poche ore invece di giorni o settimane. Senza backup immutabile, il 73% delle aziende colpite da ransomware paga il riscatto (fonte: Sophos 2025).
Devo fare backup anche dei dati in cloud (Microsoft 365, Google Workspace)?
Assolutamente sì. Contrariamente a quanto molti credono, Microsoft 365 e Google Workspace NON fanno backup dei tuoi dati. Offrono ridondanza dell’infrastruttura (i loro server non perdono i dati), ma non proteggono da: cancellazione accidentale da parte degli utenti, attacchi ransomware, dipendenti malintenzionati, errori di sincronizzazione o disattivazione delle licenze. Il modello di responsabilità condivisa è chiaro: Microsoft/Google sono responsabili della disponibilità del servizio, tu sei responsabile dei tuoi dati. Un backup dedicato di M365/Google Workspace è essenziale e costa circa 3-5 euro per utente al mese.
I tuoi dati aziendali sono protetti secondo la regola 3-2-1-1-0? Se non ne sei sicuro, contattaci per un assessment gratuito del tuo sistema di backup. Verificheremo la tua attuale strategia e ti proporremo le migliorie necessarie per una protezione completa.