RPO e RTO: Differenza e Come Calcolarli per la tua Azienda
RPO e RTO sono le due metriche che misurano quanto sei pronto a un guasto: l'RPO dice quanti dati puoi perdere, l'RTO in quanto tempo torni operativo. Guida pratica con tabella dei valori target per tipo di servizio e come calcolarli per una PMI, aggiornata a giugno 2026.
Fondatore di BullTech Informatica. Dal 2009 gestisce infrastrutture IT per PMI lombarde.
Cosa Sono RPO e RTO (Definizione)
L'RPO (Recovery Point Objective) è la quantità massima di dati che la tua azienda può permettersi di perdere, misurata in tempo. Se fai un backup ogni notte e il server si guasta nel pomeriggio, perdi tutto il lavoro della giornata: il tuo RPO è di 24 ore. Più l'RPO è basso, meno dati perdi.
L'RTO (Recovery Time Objective) è il tempo massimo entro cui i sistemi devono tornare operativi dopo un'interruzione. Se il gestionale si ferma e il tuo RTO è 4 ore, significa che entro mezza giornata lavorativa devi essere di nuovo in piedi. Più l'RTO è basso, meno tempo resti fermo. Sono due facce dello stesso piano di backup e disaster recovery aziendale.
La Differenza tra RPO e RTO, con un Esempio
Il modo più semplice per ricordare la differenza: l'RPO guarda al passato (quanti dati hai perso), l'RTO guarda al futuro (quanto ci metti a ripartire).
Esempio concreto. Un nostro cliente subisce un ransomware alle 2 di notte. L'ultimo punto di backup pulito è delle 1:45: ha perso 15 minuti di dati → RPO = 15 minuti. Grazie alla replica su datacenter, alle 6 del mattino è di nuovo operativo: ci sono volute 4 ore → RTO = 4 ore. Senza disaster recovery, con il solo backup giornaliero, avrebbe perso un'intera giornata di dati e 3-5 giorni di lavoro per ricostruire i sistemi.
Valori Target di RPO e RTO per Tier di Servizio
Non tutti i servizi hanno lo stesso peso. Ecco i valori target che usiamo in BullTech per dimensionare il disaster recovery delle PMI, dal sistema più critico all'archivio:
| Tier / Servizio | RPO target | RTO target | Soluzione tipica |
|---|---|---|---|
| Tier 1 — Mission critical (e-commerce, produzione) | ≤ 15 min | 1-2 ore | Replica continua + failover automatico |
| Tier 2 — Business (gestionale, email, file server) | 15 min - 1 ora | 4 ore | Disaster recovery con replica (Veeam) |
| Tier 3 — Importante (intranet, app interne) | 4-12 ore | 8-24 ore | Backup frequente su datacenter |
| Tier 4 — Archivio (dati storici, documenti) | 24 ore | 24-48 ore | Backup giornaliero regola 3-2-1 |
Come Calcolare RPO e RTO in 4 Passi
- Elenca i servizi critici — server, gestionale, email Microsoft 365, file server, postazioni. Per ognuno chiediti: “se si ferma, l'azienda lavora ancora?”
- Calcola il costo del downtime — quanto ti costa un'ora di fermo di quel servizio (mancato fatturato, ore di personale fermo, penali). È il numero che giustifica l'investimento.
- Definisci l'RPO — quanti dati puoi ricostruire a mano senza danni gravi? Se la risposta è “mezza giornata”, l'RPO è 4 ore e ti serve un backup almeno ogni 4 ore.
- Definisci l'RTO — entro quanto tempo i clienti e i colleghi si aspettano che torni tutto a funzionare? Quel limite è il tuo RTO, e detta la tecnologia (backup vs replica).
Regola pratica: dimensiona RPO e RTO sul costo reale del downtime, non sul desiderio di “avere tutto perfetto”. Spendere per un RPO di 5 minuti su un archivio che nessuno guarda è soldi buttati; spendere poco su un gestionale che ti fa fatturare ogni giorno è un rischio enorme.
Gli Errori più Comuni su RPO e RTO
- Confondere backup e disaster recovery: il backup ti restituisce i file (RPO), ma senza un piano di ripristino testato l'RTO resta alto. Il disaster recovery serve proprio a tenere basso l'RTO.
- Definire un RPO che il backup non rispetta: se vuoi RPO 15 minuti ma fai backup una volta al giorno, quel numero è solo sulla carta.
- Non testare mai il ripristino: un RTO non testato è una scommessa. Noi testiamo il failover ogni trimestre.
- Usare un unico valore per tutto: e-commerce e archivio documentale hanno bisogno di RPO/RTO diversi.
Quanto Costa Ottenere RPO e RTO Bassi
Con BullTech, il backup gestito con regola 3-2-1 parte da poche decine di euro al mese e garantisce un RPO di 24 ore. Il disaster recovery aziendale con replica su datacenter Opiquad a Milano parte da 200 euro/mese e porta l'RPO a 15 minuti e l'RTO a 4 ore, con failover testato ogni trimestre. Definiamo insieme i valori giusti per ogni tuo servizio con un'analisi di impatto (BIA) gratuita.
Domande Frequenti
Qual è la differenza tra RPO e RTO?
L'RPO (Recovery Point Objective) misura quanti dati puoi permetterti di perdere, espresso in tempo: un RPO di 15 minuti significa che al massimo perdi 15 minuti di lavoro. L'RTO (Recovery Time Objective) misura in quanto tempo devi tornare operativo dopo un guasto: un RTO di 4 ore significa che entro 4 ore i sistemi devono ripartire. In breve: l'RPO guarda al passato (i dati persi), l'RTO guarda al futuro (il tempo di ripristino).
Come si calcola l'RPO di un'azienda?
L'RPO si calcola partendo da quanti dati la tua azienda può perdere senza danni gravi. Se fai backup ogni 24 ore, l'RPO è di 24 ore (in caso di guasto perdi fino a un giorno di lavoro). Per ridurlo servono backup più frequenti o replica continua: con BullTech, la replica su datacenter Opiquad a Milano porta l'RPO a 15 minuti, da 200 euro/mese.
Qual è un buon valore di RTO per una PMI?
Per una PMI tipica un RTO di 4 ore è un buon obiettivo: i sistemi critici (gestionale, email, file server) tornano operativi entro mezza giornata lavorativa. Per attività che si fermano completamente senza IT (e-commerce, produzione) si punta a un RTO di 1-2 ore con disaster recovery in replica. Per dati di archivio non critici un RTO di 24-48 ore è accettabile.
RPO e RTO bassi costano di più?
Sì: più bassi sono RPO e RTO, più alto è il costo dell'infrastruttura. Un backup giornaliero (RPO 24h, RTO 24-48h) costa poche decine di euro al mese. Un disaster recovery con replica continua (RPO 15 min, RTO 4h) parte da 200 euro/mese. La regola è dimensionare i due valori sul costo reale del downtime: se un'ora di fermo ti costa migliaia di euro, l'investimento in RPO/RTO bassi si ripaga subito.
RPO e RTO valgono solo per i server?
No. RPO e RTO si definiscono per ogni servizio critico: server fisici e virtuali, Microsoft 365 (email, SharePoint, OneDrive), database gestionali, postazioni di lavoro. Spesso un'azienda ha RPO/RTO diversi per ogni sistema: l'email può richiedere RTO 1 ora, mentre l'archivio documentale tollera 24 ore. L'analisi di impatto (BIA) serve proprio a definire questi valori servizio per servizio.