Per il quindicesimo anno consecutivo, il 31 marzo si celebra il World Backup Day, ricorrenza nata per ricordare l'importanza delle copie di sicurezza dei dati. Se il messaggio di base non è cambiato, il contesto sì: nel 2026 avere un backup non è più sufficiente, occorre sapere se quel backup è integro, pulito e davvero ripristinabile in situazioni d’emergenza.

A fotografare la situazione è il report State of Ransomware 2025 di Sophos, secondo cui nel 54% delle organizzazioni colpite i backup restano lo strumento più utilizzato per recuperare i dati cifrati dagli attacchi ransomware. Parallelamente, il 49% delle vittime ha pagato il riscatto per riottenere l'accesso ai propri dati. Il divario tra chi si affida ai backup e chi cede agli attaccanti non è mai stato così ridotto. Nel complesso, il 97% delle organizzazioni che ha subìto la cifratura dei dati è riuscito a recuperarli, e il costo medio di recupero, escluso il riscatto, è sceso da 2,73 a 1,53 milioni di dollari, a dimostrazione di una maturità crescente, sebbene non ancora sufficiente per abbassare la guardia.

Marcel Bornhöfft, Field CISO Associate di Sophos, legge i dati con cautela ed evidenzia che il restringersi del divario tra chi usa i backup e chi paga indica che alcune organizzazioni faticano a fare pieno affidamento sui propri backup nel momento critico. In parte perché gli attaccanti stanno spostando le tattiche verso l'esfiltrazione e l'estorsione, contesti in cui il solo recupero dei dati non risolve il problema.

Il backup come fondamento della resilienza operativa

Vincenzo Granato, Country Manager di Commvault Italia, individua il nodo centrale del problema nella natura stessa degli attacchi moderni. Oggi gli attaccanti trascorrono mesi all'interno delle reti aziendali prima di lanciare un'azione visibile, corrompendo silenziosamente sistemi e informazioni lungo il percorso. Quando l'attacco emerge, anche i backup potrebbero essere stati compromessi, togliendo le certezze sull’affidabilità stessa dei dati da considerare affidabili.

La complessità aumenta ulteriormente con l'adozione dell'AI, che porta le decisioni operative a dipendere da volumi di dati in continua evoluzione. Se quei dati sono stati corrotti o avvelenati prima del backup, le conseguenze si propagano rapidamente attraverso i sistemi, rendendo inutilizzabili gli output. Per questo, il concetto che Granato propone è quello di clean recovery: la capacità di identificare dati affidabili, isolare gli ambienti compromessi e ripristinare i sistemi in modo da prevenire la reinfezione. Un semplice data recovery senza verifica dell'integrità rischia di reintrodurre le stesse minacce che hanno causato l'incidente.

Il ruolo della crittografia

Corey Nachreiner, Chief Security Officer di WatchGuard Technologies, aggiunge una distinzione che spesso sfugge: i backup garantiscono la disponibilità dei dati, ma non la loro riservatezza. La crittografia rappresenta una prima linea di difesa essenziale, e i dati di backup non fanno eccezione. Con il ransomware che combina interruzione operativa, furto di dati ed estorsione in un unico attacco, proteggere endpoint, identità e dati sensibili diventa indispensabile per impedire agli attaccanti di monetizzare le informazioni sottratte anche nel caso in cui il ripristino vada a buon fine.

Il messaggio di Nachreiner per il World Backup Day 2026 è diretto: la preparazione vale qualcosa solo quando il ripristino è stato dimostrato. Altrimenti detto: non basta eseguire il backup, bisogna testarlo, proteggerlo e verificare concretamente la capacità di recupero. Le aziende che si riprendono più rapidamente dagli attacchi sono quelle che sanno già, prima dell'incidente, che i propri dati sono integri, accessibili e ripristinabili.

Il punto cieco: il ripristino delle identità

Sean Deuby, Principal Technologist di Semperis, sposta l'attenzione su un elemento spesso trascurato nelle strategie di recovery: i sistemi di identità. Active Directory, Entra ID, Okta, Ping Identity sono l'infrastruttura su cui si reggono l'accesso, il controllo e la fiducia all'interno di qualsiasi azienda. Dare per scontato che gli attaccanti li lascino indenni è, secondo Deuby, un errore sempre più rischioso.

La specificità del ripristino delle identità rispetto ad altri ambienti è che riportare operativi questi sistemi non equivale automaticamente a potersi fidare della loro integrità dopo una compromissione. Quando l'identità viene meno o non è verificabile, le conseguenze si estendono oltre il piano tecnico e influenzano comunicazione, coordinamento e capacità decisionale durante la gestione della crisi stessa. Per questo le strategie di recovery devono considerare esplicitamente tale scenario e includere procedure di ripristino specifiche per i sistemi di identità come parte integrante del piano di risposta agli incidenti.