C’è un equivoco molto diffuso tra le PMI italiane che usano Microsoft 365: “i dati sono nel cloud Microsoft, quindi sono già backuppati”. Non è così. Microsoft applica un modello di responsabilità condivisa in cui l’azienda Microsoft garantisce la disponibilità dell’infrastruttura, ma il backup dei dati di business è responsabilità del cliente. È scritto in chiaro nei termini del servizio Microsoft 365, ma viene letto raramente.
Questa guida spiega cosa significa concretamente, in quali scenari il backup nativo Microsoft fallisce, e come strutturare un backup terzo per Microsoft 365 in una PMI italiana.
Il modello di responsabilità condivisa Microsoft
Microsoft pubblica il proprio modello di responsabilità condivisa nei Service Trust Documents. In sintesi:
| Cosa | Responsabilità Microsoft | Responsabilità Cliente |
|---|---|---|
| Infrastruttura fisica datacenter | ✓ | — |
| Disponibilità servizio (SLA 99,9%) | ✓ | — |
| Patching software M365 | ✓ | — |
| Protezione contro disastri datacenter | ✓ | — |
| Backup dei dati aziendali (mail, file, Teams) | — | ✓ |
| Configurazione tenant e policy | — | ✓ |
| Identità e accessi degli utenti | — | ✓ |
| Compliance normativa | — | ✓ |
La parte critica è quella in grassetto: Microsoft non si impegna a fornire backup ripristinabile dei dati di business. Il cestino di Exchange Online, la cronologia versioni di SharePoint, il “Recently deleted” di OneDrive non sono backup — sono funzionalità di self-service recovery a retention limitata.
Limiti reali della retention nativa Microsoft 365
I dati Microsoft 365 hanno una retention nativa che varia per workload. Sintesi 2026:
| Workload | Retention nativa post-eliminazione | Recoverable? |
|---|---|---|
| Exchange Online — Email cestinata | 14 giorni (default), estendibile a 30 giorni | Sì, utente |
| Exchange Online — Email eliminata definitivamente | 14 giorni recoverable items | Sì, admin |
| Exchange Online — Cassetta postale di ex-dipendente | 30 giorni dalla disabilitazione account | Sì, admin (poi persa) |
| SharePoint — File | 93 giorni (1° cestino utente 30 + 2° cestino admin 63) | Sì, admin |
| SharePoint — Versioni | 500 versioni (configurabile) | Sì, utente |
| OneDrive — File | 30 giorni (cestino utente) | Sì, utente |
| OneDrive — Account dismesso | 30 giorni post-disabilitazione (default), estendibile a max 10 anni con configurazione | Sì, admin |
| Teams — Chat | Permanente by default, soggetta a policy retention | Limitato |
| Teams — File | Vivono in SharePoint del team → retention SharePoint | Sì |
Sembrano cifre rassicuranti, ma dipendono da configurazioni corrette e azione tempestiva. Diversi scenari reali producono perdita di dati irrecuperabile.
3 scenari dove il backup nativo Microsoft fallisce
Scenario 1 — Ransomware con esecuzione dentro M365
Un attaccante compromette le credenziali di un utente con permessi ampi (es. office manager con accesso amministrativo cassette mail). Cripta migliaia di file su SharePoint sincronizzati via OneDrive sync client, sovrascrivendo le versioni precedenti con file criptati. Il versioning SharePoint 500 versioni sembra protezione, ma se l’attaccante fa upload ricorrente sostituisce tutte le versioni. La retention massima è quella della policy aziendale: se non configurata, 30 giorni nel cestino utente.
Risultato: dopo 30 giorni i file sono persi definitivamente, anche per admin.
Scenario 2 — Ex-dipendente con accesso vendicativo
Un commerciale licenziato male, con account ancora attivo per 24 ore prima della disabilitazione, cancella deliberatamente le proprie email Outlook e i propri file OneDrive (tipico per nascondere trattative o portarli via). Quando il management si accorge, anche se la cassetta è ancora recoverable, alcuni elementi specifici (presentazioni cliente, contatti, offerte) potrebbero essere già stati sovrascritti se l’attaccante ha fatto operazioni di overwriting.
Scenario 3 — Errore di configurazione retention
L’IT admin disabilita per errore una retention policy di Compliance Center senza accorgersene. 6 mesi dopo, scopre che cassette di ex-dipendenti del Q3 sono andate perse — la retention era stata accidentalmente settata a 30 giorni invece di “indefinita”. Microsoft non avvisa della perdita: applica semplicemente la configurazione presente.
Soluzioni di backup terze parti per Microsoft 365
Il pattern raccomandato dalla maggior parte degli IT advisor (Gartner, Forrester) è: avere una copia di backup dei dati Microsoft 365 fuori dal tenant Microsoft, con retention significativamente più lunga, su storage immutable, gestita con disciplina backup professionale (3-2-1 rule).
I provider principali nel 2026:
Veeam Backup for Microsoft 365
Lo standard de facto del mercato. Backup di Exchange Online, SharePoint, OneDrive, Teams. Storage target a scelta: Azure Blob Storage, AWS S3, Wasabi, locale on-premises. Pricing: ~3-5 €/utente/mese (a seconda dei volumi e del provider locale). Vedi il confronto puntuale Veeam Cloud vs Azure Backup.
Acronis Cyber Protect Cloud
Soluzione all-in-one che integra backup M365 + endpoint + server + anti-malware. Pricing ~4-6 €/utente/mese. Adatto a PMI che vogliono consolidare backup endpoint + cloud su un’unica console.
Druva inSync
Pure-play SaaS backup. Zero infrastruttura cliente, retention 10 anni inclusa. ~6-8 €/utente/mese. Premium positioning, adatto a chi vuole soluzione completamente managed.
Spanning Backup, Barracuda, AvePoint
Player consolidati con offerte simili a Veeam. Spanning (oggi Kaseya) è forte sui clienti SMB. AvePoint è forte sulla compliance.
Quanto costa un backup Microsoft 365 per una PMI italiana
Stime concrete per fascia utenti (2026, mercato italiano):
| Utenti | Volume tipico dati | Veeam standalone | Veeam in DaaS | Storage Azure Blob immutable |
|---|---|---|---|---|
| 20 utenti | 200-500 GB | ~80-120 €/mese | ~140-200 €/mese | ~30-50 €/mese (storage solo) |
| 50 utenti | 500 GB - 2 TB | ~200-300 €/mese | ~350-500 €/mese | ~50-150 €/mese |
| 100 utenti | 1-5 TB | ~400-600 €/mese | ~700-1.000 €/mese | ~100-300 €/mese |
| 200 utenti | 3-10 TB | ~800-1.200 €/mese | ~1.400-2.000 €/mese | ~250-600 €/mese |
Costo licenze Veeam Backup for Microsoft 365: ~30 €/utente/anno (listino), spesso scontato 15-25% in pacchetti SynSphere. Storage Azure Blob Cool tier con immutable: ~0,01 €/GB/mese.
Per una PMI tipica italiana (50-100 utenti) il costo totale tipico di backup M365 è 200-600 €/mese, ammortizzato in un singolo incidente recuperato.
RTO e RPO: definire l’SLA del backup M365
Due numeri da definire prima di scegliere la soluzione:
- RPO (Recovery Point Objective) — quanto dato siete disposti a perdere? Per M365 tipicamente: 4-24 ore. Significa che il backup gira 1-4 volte al giorno.
- RTO (Recovery Time Objective) — quanto tempo serve per ripristinare? Tipicamente: 4-24 ore per restore mirato (cassetta singola, set di file), 48-72 ore per ripristino massivo.
Veeam e simili supportano backup ogni 4 ore (RPO 4h) come default professionale. Restore tipico: minuti per singolo elemento, ore per cassetta o sito SharePoint completo.
Roadmap di implementazione 8-12 settimane
Per una PMI italiana 50-200 utenti:
| Settimana | Attività |
|---|---|
| 1-2 | Selezione provider + scelta storage target |
| 3-4 | Setup tenant backup + connessione M365 via API |
| 5-6 | Primo backup completo (full): può durare giorni per tenant grandi |
| 7-8 | Test ripristino: cassetta intera, file singolo, sito SharePoint |
| 9-10 | Documentazione procedure (chi può fare restore, come, escalation) |
| 11-12 | Roll-out a regime con monitoring e alerting |
Settimane più critiche: 5-6 (primo full backup) e 7-8 (test ripristino). Un backup non testato non è un backup: il test di ripristino è obbligatorio prima di considerare il setup conforme.
Backup M365 e compliance NIS2
Per le PMI in scope NIS2 (sopra 50 dipendenti in settori essential/important), il backup M365 contribuisce a soddisfare l’art. 21 del D.lgs 138/2024 (continuità operativa e ripristino). Tre elementi specifici richiesti:
- Backup immutable — dati che non possono essere alterati dopo la scrittura, per N giorni configurati
- Storage offsite — geograficamente separato dal tenant Microsoft (Azure Blob in regione diversa, o S3)
- Test di ripristino documentato — almeno annuale, con esito registrato
Veeam + Azure Blob immutable (modalità Compliance) soddisfa tutti e tre. Riferimento utile: confronto Microsoft 365 Business Standard vs Premium per la sicurezza M365 lato tenant.
Cosa fare adesso
- Verifica configurazione retention attuale del tenant M365. Apri Compliance Center → Retention Policies. Documenta le policy correnti.
- Calcola il volume dati attuale (Outlook + SharePoint + OneDrive + Teams). L’admin center fornisce dashboard con uso storage.
- Definisci RPO e RTO discutendoli con management. Sono decisioni di business, non solo tecniche.
- Richiedi 2-3 quotazioni per backup M365 (Veeam via SynSphere, Acronis, Druva). I prezzi variano significativamente.
- Pianifica test di ripristino documentato alla scadenza dei primi 90 giorni post-implementazione. Senza test, il backup non vale.
Per un assessment del backup Microsoft 365 attuale e una valutazione comparativa delle soluzioni terze parti (Veeam, Acronis, Druva) calibrata sul vostro volume e RPO/RTO, contattaci: valutazione gratuita iniziale, business case quantificato per fasce 50-200 utenti.