La regola 3-2-1 esiste dagli anni 2000 ma resta lo standard di riferimento per la protezione dei dati aziendali. È così efficace che i grandi cloud provider la propongono ancora come baseline. Ecco cosa significa davvero applicarla nel 2026.
Cosa dice la regola 3-2-1
- 3 copie dei dati: l'originale e almeno due backup.
- 2 supporti diversi: per esempio disco interno + NAS, oppure NAS + cloud.
- 1 copia offsite: fisicamente fuori dall'azienda. In caso di incendio, furto o ransomware che cifra anche il NAS, questa è la copia di salvataggio.
L'evoluzione 3-2-1-1-0
Negli ultimi anni la regola si è estesa per rispondere all'era ransomware:
- 1 copia immutabile o air-gapped (non modificabile né dal ransomware né da un amministratore compromesso).
- 0 errori nei test di ripristino: il backup serve solo se ripristina davvero.
Errori comuni che vediamo nei clienti
Le cause più frequenti di backup inutili al momento del bisogno:
- Backup su NAS sempre online: il ransomware moderno cifra anche le condivisioni di rete. Se il NAS è raggiungibile, il backup è a rischio.
- Cloud sync confuso col backup: OneDrive, Google Drive, Dropbox non sono backup. Se cancelli un file, viene sincronizzato anche nel cloud.
- Mai testato il ripristino: nei nostri assessment scopriamo regolarmente backup che non si ripristinano per problemi di driver, password dimenticate, dati corrotti.
- Retention troppo breve: alcuni ransomware restano dormienti per settimane prima di attivarsi. Servono backup di almeno 30-90 giorni.
Soluzioni concrete per fascia di azienda
Studio o microimpresa (1-5 postazioni)
NAS Synology o QNAP locale + backup cloud (Backblaze, Wasabi, S3). Costo tipico 800-1.500 euro hardware + 10-30 euro/mese cloud.
PMI 5-30 dipendenti
Server di backup dedicato (Veeam, Synology Active Backup) + replica offsite + immutabilità. Costo tipico 3.000-8.000 euro one-time + manutenzione.
Aziende strutturate 30+
Architettura a tre livelli: backup primario veloce, secondario su disco/nastro, terziario in cloud immutabile. Software enterprise con orchestrazione automatica.
Test di ripristino: l'unica metrica che conta
Un backup non testato non è un backup, è una speranza. Almeno una volta al trimestre va eseguito un ripristino reale di un file casuale e una volta all'anno un ripristino completo di un sistema in ambiente di test. Sono attività che noi includiamo automaticamente nei contratti di gestione.
Conclusione
Il backup è l'ultima linea di difesa quando tutto il resto fallisce. Investire in una strategia 3-2-1 ben implementata è più importante di qualunque altra misura di sicurezza. Vuoi una valutazione del tuo attuale sistema di backup? Possiamo verificare in mezza giornata se è davvero in grado di salvarti l'azienda.