Il problema non nasce quando un file sparisce. Nasce molto prima, quando in azienda tutti pensano che il backup lo stia facendo qualcun altro. È qui che la domanda “chi deve fare backup aziendale” smette di essere teorica e diventa operativa, perché senza responsabilità precise il rischio non è solo perdere dati, ma fermare uffici, produzione, contabilità e rapporto con i clienti.

Per una PMI, uno studio professionale o un’attività locale, il backup non è un’attività da lasciare sullo sfondo. Va assegnato, controllato e testato. E soprattutto va distinto tra chi decide, chi esegue e chi verifica. Quando questi tre livelli si confondono, il sistema prima o poi presenta il conto.

Chi deve fare backup aziendale in pratica

La risposta breve è questa: il backup aziendale è una responsabilità del titolare o della direzione, un’attività operativa del reparto IT interno o del fornitore esterno, e un processo che coinvolge anche i referenti dei vari uffici.

Questo punto è essenziale. Il titolare non deve necessariamente configurare NAS, policy di retention o copie offsite. Però deve decidere che il backup è una priorità di business, stanziare budget, approvare regole e pretendere controlli periodici. Se questa parte manca, l’azienda avrà quasi sempre backup parziali, improvvisati o mai verificati.

Dall’altra parte, chi gestisce i sistemi – sistemista interno, consulente IT o partner esterno – deve progettare e mantenere la soluzione tecnica. Significa capire dove risiedono i dati, quali dispositivi vanno protetti, con quale frequenza eseguire le copie e come ripristinare rapidamente in caso di guasto, errore umano o attacco ransomware.

Infine ci sono gli utenti chiave. Amministrazione, commerciale, progettazione, reception, segreteria o studio tecnico spesso usano software e archivi che non stanno dove il titolare immagina. Se nessuno mappa questi flussi, è facile proteggere bene i server e dimenticare cartelle locali, database su PC singoli o documenti salvati fuori standard.

Il titolare ha la responsabilità, anche se delega

Molte aziende pensano che affidare l’informatica a un fornitore significhi trasferire automaticamente tutta la responsabilità. Non funziona così. Il fornitore può eseguire il servizio, monitorarlo e documentarlo, ma la responsabilità organizzativa resta dell’azienda.

In concreto, il titolare o chi dirige l’attività deve rispondere ad alcune domande precise. Quali dati sono essenziali per lavorare domani mattina? Quante ore di fermo sono accettabili? Quanto storico va conservato? Chi autorizza il ripristino se succede un incidente? Senza queste risposte, anche una buona infrastruttura può essere configurata in modo non allineato al rischio reale.

C’è poi un aspetto spesso sottovalutato: il backup non serve solo in caso di disastro. Serve anche per gli errori quotidiani. Un file sovrascritto, una cartella cancellata, un gestionale aggiornato male, un disco che inizia a dare problemi. La direzione deve considerare il backup come parte della continuità operativa, non come una spesa tecnica da comprimere.

Il reparto IT o il fornitore esterno esegue e controlla

Se la governance è della direzione, l’operatività è in capo a chi gestisce l’infrastruttura. Qui la differenza tra un backup presente e un backup utile è enorme. Fare una copia dei dati non basta. Bisogna sapere se è completa, se è leggibile, dove si trova, quanto è aggiornata e quanto tempo richiede il ripristino.

Un fornitore IT serio non si limita a installare un dispositivo e attivare un job automatico. Deve censire server, PC critici, NAS, macchine virtuali, caselle di posta, file condivisi e postazioni che ospitano dati locali. Deve definire una strategia coerente con il tipo di azienda. Un ufficio amministrativo ha esigenze diverse da uno studio tecnico che gestisce file pesanti o da un negozio con software di cassa.

In molti contesti conviene adottare più livelli di protezione: backup locale per il ripristino veloce, copia esterna o offsite per eventi più gravi, versioning per recuperare file modificati per errore e controllo periodico dei log. Il punto non è avere più tecnologia possibile, ma costruire un sistema che regga davvero quando serve.

I referenti interni hanno un ruolo concreto

Quando si parla di chi deve fare backup aziendale, gli utenti interni vengono spesso esclusi dal ragionamento. È un errore. Non devono amministrare il sistema, ma devono rispettare procedure chiare.

Se un ufficio salva documenti solo sul desktop del PC, fuori dalle cartelle condivise, quel dato rischia di uscire dal perimetro del backup. Se un dipendente usa un disco USB personale o un servizio cloud non autorizzato, l’azienda perde controllo e tracciabilità. Se nessuno segnala che un nuovo software genera database locali, il backup resta incompleto senza che la direzione se ne accorga.

Per questo servono regole semplici ma vincolanti: dove si salvano i file, quali strumenti si usano, chi va avvisato quando entra un nuovo programma o una nuova postazione, come si gestiscono notebook in smart working e dispositivi fuori sede. Il backup funziona meglio quando è integrato nel modo di lavorare, non quando viene trattato come un’aggiunta tecnica.

Backup aziendale e GDPR: chi deve occuparsene

Il backup ha anche una dimensione di conformità. Non basta conservare i dati, bisogna farlo in modo coerente con sicurezza, accessi, tempi di conservazione e possibilità di ripristino. In questo senso il tema non riguarda solo l’IT, ma anche chi gestisce processi, privacy e organizzazione interna.

Il GDPR non impone un prodotto specifico, ma richiede misure adeguate al rischio. Questo significa che l’azienda deve poter dimostrare di avere una logica di protezione dei dati e non una soluzione improvvisata. Se i backup esistono ma nessuno li controlla, oppure sono accessibili senza regole, il problema resta.

Qui serve collaborazione tra direzione, consulente privacy e fornitore tecnico. Il primo definisce le priorità e approva le procedure, il secondo aiuta a inquadrarle correttamente, il terzo le traduce in configurazioni, monitoraggio e interventi. È un lavoro con ruoli distinti, non un’attività da scaricare interamente su una sola figura.

Gli errori più comuni quando nessuno ha un ruolo definito

Nelle aziende piccole e medie si vedono spesso gli stessi problemi. Il backup c’è, ma non copre tutti i sistemi. Oppure viene eseguito da mesi su un disco pieno senza che nessuno controlli gli alert. In altri casi esiste una copia locale, ma manca una replica esterna, quindi furto, incendio o ransomware possono compromettere sia i dati di produzione sia il backup.

Un altro errore tipico è confondere sincronizzazione e backup. Se un file viene cancellato o cifrato e la modifica si replica ovunque, non si è protetti. Serve storicizzazione, serve isolamento, serve una politica di conservazione ragionata. Anche qui il punto non è tecnico in senso stretto: è organizzativo. Qualcuno deve sapere cosa è stato predisposto e qualcuno deve verificare che sia adatto.

C’è poi il tema dei test di ripristino. Molte aziende scoprono di avere un problema solo quando devono recuperare un dato urgente. Il backup apparentemente era attivo, ma il ripristino non funziona, richiede troppo tempo o non include l’ultima parte di lavoro. Un piano serio prevede verifiche periodiche, non solo esecuzioni automatiche.

Come assegnare bene le responsabilità

Nella pratica, la soluzione migliore è semplice. La direzione nomina un referente interno, anche non tecnico, che tenga il tema sotto controllo. Il partner IT gestisce progettazione, configurazione, monitoraggio e supporto. I responsabili dei reparti segnalano dati critici, nuove esigenze e variazioni operative.

Questo modello funziona perché evita due estremi opposti. Da un lato il caos totale, dove nessuno sa cosa venga salvato. Dall’altro l’accentramento assoluto sul fornitore, senza alcuna consapevolezza interna. Un buon presidio nasce invece da una responsabilità condivisa ma non confusa.

Per molte realtà di Roma e provincia, soprattutto PMI e studi professionali senza un reparto IT strutturato, affidarsi a un partner esterno è la scelta più concreta. L’importante è che il servizio non si limiti all’installazione iniziale. Servono controllo continuo, aggiornamento della strategia quando cambiano postazioni o software, e tempi di intervento compatibili con il lavoro quotidiano. È l’approccio operativo che fa la differenza, lo stesso con cui MacWin 2005 segue infrastrutture miste Apple e Windows, NAS, rete e continuità dei sistemi.

La domanda giusta, quindi, non è solo chi deve fare backup aziendale. È anche chi si accorge subito se qualcosa non viene più salvato, chi decide le priorità di ripristino e chi mantiene il processo allineato all’azienda reale, non a quella di due anni fa.

Quando questi ruoli sono chiari, il backup smette di essere una voce tecnica poco visibile e diventa quello che dovrebbe essere: una misura concreta per continuare a lavorare anche quando qualcosa va storto.