Il 93% dei ransomware moderni prende di mira i backup prima di criptare i dati di produzione (Veeam Ransomware Trends Report 2025). Cancellano i file di backup, eliminano i punti di ripristino, corrompono i repository. Se i tuoi backup non sono immutabili, il ransomware li distruggerà insieme a tutto il resto. Il backup immutabileè l'unica tecnologia che garantisce la possibilità di ripristino anche in caso di compromissione totale della rete. Ecco come funziona, le tecnologie disponibili e come implementarlo nella tua azienda.
Indice dei Contenuti
- 1. Cos'È un Backup Immutabile
- 2. Come Funziona: WORM, Object Lock, Hardened Repository
- 3. Perché i Backup Tradizionali Non Bastano
- 4. Backup Immutabile con Veeam
- 5. Backup Immutabile in Cloud
- 6. Air-Gapped vs Immutabile: Differenze
- 7. La Regola 3-2-1-1-0 con Backup Immutabili
- 8. Backup Immutabile e Compliance
- 9. Costi e ROI
- 10. Domande Frequenti
Cos'È un Backup Immutabile
Un backup immutabile è una copia dei dati che, una volta scritta, non può essere modificata, cancellata o crittografata da nessuno – nemmeno da un amministratore con i massimi privilegi, nemmeno dal ransomware con accesso root ai sistemi.
Il concetto è semplice: scrivi una volta, leggi quante volte vuoi, non puoi mai sovrascrivere o cancellare. È l'equivalente digitale di scrivere con l'inchiostro indelebile su un foglio protetto da un vetro blindato. L'immutabilità è garantita a livello tecnologico, non a livello di policy: non si tratta di "non dovresti cancellarlo", ma di "non è fisicamente possibile cancellarlo".
Le 3 proprietà di un backup immutabile
Non cancellabile
Nessuno può eliminare il backup prima della scadenza del periodo di retention, nemmeno con accesso amministrativo.
Non modificabile
I dati non possono essere alterati, sovrascritti o crittografati. Il ransomware non può cifrare un backup immutabile.
Temporalmente vincolato
L’immutabilità ha una durata definita (es. 30, 60, 90 giorni). Scaduto il periodo, lo spazio viene riciclato automaticamente.
Come Funziona: WORM, Object Lock, Hardened Repository
L'immutabilità dei backup può essere implementata con diverse tecnologie, ciascuna adatta a scenari specifici:
WORM (Write Once Read Many)
La tecnologia più classica: i dati vengono scritti una sola volta e possono essere letti infinite volte, ma mai sovrascritti o cancellati. Originariamente implementata su supporti fisici (nastri WORM, dischi ottici), oggi è disponibile anche in forma software. Il file system segna i file come immutabili a livello di kernel, rendendo impossibile la modifica anche con privilegi root.
Object Lock (S3 Object Lock)
La versione cloud dell’immutabilità. Servizi come AWS S3, Azure Blob Storage e Wasabi supportano Object Lock: una volta attivato, gli oggetti (file) non possono essere cancellati o modificati per un periodo definito. Due modalità: Governance (solo utenti con permessi speciali possono sovrascrivere) e Compliance (nessuno può sovrascrivere, nemmeno l’account root AWS). La modalità Compliance è la più sicura.
Hardened Repository (Veeam)
La soluzione on-premise di Veeam: un server Linux dedicato configurato come repository “hardened” (blindato). Utilizza il file system XFS con attributo immutable (chattr +i) per impedire la modifica dei backup. Il server è configurato senza SSH permanente, senza accesso root remoto e con single-use credentials. Anche se un attaccante compromette il Veeam Backup Server, non può alterare i backup nel Hardened Repository.
Perché i Backup Tradizionali Non Bastano Più
I backup tradizionali – copie su NAS, su disco USB, su un secondo server – non offrono alcuna protezione contro il ransomware moderno. Ecco perché:
Il ransomware cerca e distrugge i backup
I ransomware moderni, prima di criptare i dati di produzione, scansionano la rete alla ricerca di file di backup (.vbk, .bak, .vhdx), shadow copy di Windows e repository di backup. Li cancellano o li criptano. Il 93% degli attacchi ransomware include tentativi di compromissione dei backup.
I backup su NAS condiviso sono vulnerabili
Se il NAS è raggiungibile dalla rete (share SMB/NFS), il ransomware può criptare anche i backup. Non importa che siano su un dispositivo separato: se è accessibile in rete, è a rischio.
Le credenziali amministrative compromesse danno accesso a tutto
Con le credenziali admin del dominio, un attaccante può accedere al server Veeam, cancellare i job di backup, eliminare i punti di ripristino e compromettere l’intero repository. Senza immutabilità, non c’è ultima linea di difesa.
Il backup non testato è una speranza, non una strategia
Il 37% delle aziende che tentano un ripristino da backup dopo un ransomware scoprono che il backup è corrotto, incompleto o inutilizzabile. Senza immutabilità e test regolari, non hai un piano di ripristino: hai solo una speranza.
Backup Immutabile con Veeam (Hardened Repository)
Veeam Backup & Replication è la soluzione di backup più diffusa tra le PMI e le medie imprese. La funzionalità Hardened Repository, introdotta in Veeam v11 e perfezionata nelle versioni successive, offre immutabilità on-premise senza dipendere dal cloud.
Come funziona il Veeam Hardened Repository
- Server Linux dedicato – un server (fisico o virtuale) con Ubuntu o Rocky Linux, dedicato esclusivamente ai backup
- File system XFS – il file system XFS con attributo immutable (chattr +i) impedisce la modifica o cancellazione dei file di backup
- Single-use credentials – Veeam usa credenziali temporanee per scrivere i backup, poi le revoca. Non rimangono credenziali persistenti sul repository
- Niente SSH permanente – SSH è attivo solo durante il setup iniziale, poi viene disabilitato. Nessun accesso remoto al repository
- Retention period – i backup restano immutabili per il periodo configurato (es. 30, 60, 90 giorni), poi vengono automaticamente riciclati
Il risultato: anche se un attaccante compromette il Veeam Backup Server, il domain controller e l'intera rete, i backup nel Hardened Repository restano intatti e disponibili per il ripristino. BullTech implementa e gestisce Veeam Hardened Repository per i propri clienti come parte del servizio di business continuity.
I tuoi backup sono protetti dal ransomware?
Verifica gratuitamente la resilienza dei tuoi backup. I nostri specialisti analizzano la tua infrastruttura e ti propongono una soluzione di backup immutabile su misura.
Richiedi Verifica GratuitaBackup Immutabile in Cloud
Il cloud offre opzioni native per l'immutabilità dei backup, particolarmente utili come copia offsite nella strategia 3-2-1-1-0:
AWS S3 Object Lock
Amazon S3 supporta Object Lock in modalità Governance e Compliance. La modalità Compliance garantisce che nemmeno l’account root AWS possa cancellare gli oggetti prima della scadenza. Integrazione nativa con Veeam per il backup diretto su S3 con immutabilità.
Azure Blob Immutable
Azure Blob Storage offre Immutable Storage con policy di retention a livello di container o versione. Supporta sia policy time-based (immutabilità per un periodo) che legal hold (immutabilità fino a revoca manuale). Integrazione con Veeam e altri software di backup.
Wasabi Hot Cloud Storage
Alternativa economica ad AWS S3 con Object Lock incluso. Nessun costo per egress (download), pricing semplice (€5-6/TB/mese). Compatibile S3, integrazione nativa con Veeam. Ideale per le PMI che vogliono backup immutabile in cloud a costi contenuti.
Veeam Cloud Connect
Il servizio di BullTech basato su Veeam Cloud Connect con Insider Protection: i backup sono ospitati nella nostra infrastruttura con immutabilità garantita. Anche in caso di compromissione del tuo Veeam server, i backup nel nostro cloud restano intatti.
Air-Gapped vs Immutabile: Differenze e Complementarità
Air-gap e immutabilità sono due approcci complementari alla protezione dei backup. Ecco un confronto:
| Caratteristica | Air-Gapped | Immutabile |
|---|---|---|
| Protezione dalla rete | Totale (fisicamente scollegato) | Logica (connesso ma protetto) |
| RPO (Recovery Point Objective) | Alto (ore/giorni) | Basso (minuti/ore) |
| RTO (Recovery Time Objective) | Alto (recupero fisico) | Basso (accesso immediato) |
| Automazione | Limitata | Completa |
| Gestione operativa | Manuale (nastri, dischi) | Automatica |
| Costo operativo | Medio-alto | Medio |
| Protezione da insider | Alta | Alta (modalità Compliance) |
| Ideale per | Dati archiviati, compliance | Protezione attiva, DR rapido |
L'approccio ideale è combinarli: backup immutabile per il ripristino rapido (basso RPO e RTO) e backup air-gapped per la protezione ultima contro scenari catastrofici. Nella pratica, per la maggior parte delle PMI, il backup immutabile in cloudsostituisce efficacemente sia l'air-gap che l'immutabilità on-premise, offrendo il meglio di entrambi i mondi.
Implementare la Regola 3-2-1-1-0 con Backup Immutabili
La regola 3-2-1-1-0 è l'evoluzione della classica regola 3-2-1, aggiornata per il mondo del ransomware. Il backup immutabile è il componente che rende possibile l'"1" in più:
3 copie dei dati
Produzione + backup locale + backup offsite/cloud. Mai meno di 3 copie.
2 supporti diversi
Es. disco locale + cloud, oppure disco + nastro. Se un supporto fallisce, l’altro è disponibile.
1 copia offsite
Almeno una copia fuori dalla sede aziendale (cloud o secondo datacenter). Protegge da incendio, alluvione, furto.
1 copia immutabile
Almeno una copia DEVE essere immutabile. Questa è la protezione contro il ransomware. Può essere la stessa copia offsite.
0 errori di ripristino
Ogni backup deve essere testato e verificato. Un backup non testato è solo una speranza. Test di ripristino almeno trimestrali.
Un'implementazione pratica per una PMI: Veeam Backup & Replication con backup locale su Hardened Repository (immutabile on-premise) + replica su Wasabi S3 con Object Lock (immutabile offsite) + test di ripristino automatici mensili. Costo totale gestito: €500-1.500/mese a seconda del volume di dati. Approfondisci nella nostra guida alla regola di backup 3-2-1.
Backup Immutabile e Compliance (NIS2, GDPR)
Il backup immutabile non è solo una scelta tecnica: risponde a precisi obblighi normativi sempre più stringenti nel 2026.
NIS2
L'art. 21 richiede "continuità operativa" e "gestione delle crisi" con capacità di ripristino dei servizi dopo un incidente. Con il 93% dei ransomware che attacca i backup, solo un backup immutabile garantisce questa capacità. Le autorità valuteranno l'adeguatezza delle misure: un backup tradizionale non è più adeguato.
GDPR
L'art. 32 richiede la "capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente". Il backup immutabile è l'unica tecnologia che garantisce il ripristino in ogni scenario, inclusa la compromissione totale della rete. Fondamentale per dimostrare "misure tecniche adeguate".
Costi e ROI del Backup Immutabile
Ecco i costi indicativi per implementare il backup immutabile in una PMI con 1-5 TB di dati:
| Soluzione | Setup | Canone mensile |
|---|---|---|
| Veeam Hardened Repository (on-premise) | €3.000-8.000 | €200-500 |
| Cloud Object Lock (Wasabi/S3) | €500-1.000 | €50-150 |
| Soluzione ibrida (on-prem + cloud) | €3.500-9.000 | €300-800 |
| BullTech Backup Gestito (tutto incluso) | €0 (incluso) | €500-1.500 |
Il calcolo del ROI è immediato: il costo annuo di un backup immutabile gestito (€6.000-18.000) va confrontato con il costo di un singolo incidente ransomware (€115.000 di riscatto medio + €50.000-200.000 di downtime + danni reputazionali + possibili sanzioni GDPR/NIS2). Il backup immutabile si ripaga al primo attacco bloccato, con un ROI superiore al 500%.
Domande Frequenti
Cos'è un backup immutabile in parole semplici?
Un backup immutabile è una copia dei tuoi dati che, una volta scritta, non può essere modificata, cancellata o crittografata da nessuno, nemmeno da un amministratore con privilegi elevati. È come scrivere con l'inchiostro indelebile: una volta scritto, resta così. Questo è fondamentale contro il ransomware: anche se un attaccante compromette tutta la rete e cripta tutti i dati, il backup immutabile resta intatto e disponibile per il ripristino. La tecnologia alla base si chiama WORM (Write Once Read Many): scrivi una volta, leggi quante volte vuoi, ma non puoi mai sovrascrivere o cancellare.
Il backup immutabile protegge davvero dal ransomware?
Sì, il backup immutabile è attualmente la protezione più efficace contro il ransomware. I ransomware moderni, prima di crittografare i dati di produzione, cercano e distruggono i backup: cancellano i file di backup, eliminano i punti di ripristino, corrompono i repository. Con un backup immutabile, il ransomware non può alterare le copie: anche con accesso amministrativo ai sistemi, i dati immutabili restano protetti. Il 93% delle organizzazioni che hanno subito un attacco ransomware ha riscontrato tentativi di compromissione dei backup (Veeam Ransomware Trends Report 2025). Il backup immutabile neutralizza completamente questo vettore di attacco.
Qual è la differenza tra backup immutabile e air-gapped?
Sono due approcci complementari, non alternativi. Il backup air-gapped è fisicamente disconnesso dalla rete (es. nastri offline, disco esterno scollegato): nessun attaccante può raggiungerlo via rete. Il backup immutabile è connesso alla rete ma protetto logicamente: i dati sono scrivibili una sola volta e non possono essere alterati. L'air-gap offre protezione totale dalla rete ma ha svantaggi operativi (RPO alto, gestione manuale, nessun accesso rapido). Il backup immutabile offre protezione equivalente con operatività superiore (RPO basso, accesso rapido, automazione). L'ideale è combinarli nella regola 3-2-1-1-0: dove l'1 immutabile e l'1 offsite possono essere la stessa copia o copie separate.
Quanto costa implementare il backup immutabile?
Il costo dipende dalla quantità di dati e dalla tecnologia scelta. Per una PMI con 1-5 TB di dati, i costi indicativi sono: Veeam Hardened Repository on-premise (server Linux dedicato + licenze Veeam) da 3.000 a 8.000 euro di setup + 200-500 euro/mese di gestione; backup immutabile in cloud (AWS S3 con Object Lock o Wasabi) da 5 a 15 euro/TB/mese; soluzione ibrida (on-premise + cloud) da 500 a 1.500 euro/mese totali. Confrontato con il costo di un ransomware (riscatto medio €115.000 + downtime + danni reputazionali), l'investimento nel backup immutabile ha un ROI immediato: si ripaga al primo attacco bloccato. Un MSP come BullTech include il backup immutabile nei propri piani di gestione, distribuendo il costo nel canone mensile.
Veeam supporta il backup immutabile?
Sì, Veeam è uno dei leader nel backup immutabile. Offre diverse opzioni: 1) Hardened Repository — un server Linux configurato con file system immutabile (XFS + chattr) che impedisce la cancellazione o modifica dei backup anche con accesso root. 2) Object Storage con Object Lock — integrazione nativa con AWS S3, Azure Blob Storage, Wasabi e altri object storage compatibili S3 con Object Lock per l'immutabilità in cloud. 3) Insider Protection — una funzione del Veeam Cloud Connect che protegge i backup anche dal provider che li ospita. Tutte queste opzioni possono essere combinate in un'architettura di backup multi-tier che implementa la regola 3-2-1-1-0 completa.
Il backup immutabile è richiesto dalla NIS2?
La NIS2 non menziona esplicitamente il 'backup immutabile', ma richiede misure di 'continuità operativa' e 'gestione delle crisi' che nella pratica rendono il backup immutabile una necessità. L'articolo 21 richiede: backup adeguati, piani di disaster recovery, capacità di ripristino dei servizi dopo un incidente. Date le minacce attuali (il 93% dei ransomware prende di mira i backup), un backup tradizionale non soddisfa il requisito di 'adeguatezza': solo un backup immutabile garantisce la capacità di ripristino anche in caso di compromissione completa della rete. Anche il GDPR richiede la capacità di ripristinare 'tempestivamente' i dati personali, e il backup immutabile è l'unica tecnologia che lo garantisce in ogni scenario.
Il backup immutabile non è più un lusso: è una necessità per ogni azienda che vuole sopravvivere a un attacco ransomware. Con le tecnologie disponibili nel 2026 (Veeam, cloud Object Lock, Wasabi), implementarlo è accessibile anche per le PMI più piccole. Contattaci per una verifica gratuita della resilienza dei tuoi backup e scopri come BullTech può proteggere i tuoi dati con una soluzione di backup immutabile gestita e monitorata 24/7.