Migrazione e Gestione Operativa

Backup email aziendali: soluzioni pratiche per non perdere anni di comunicazioni

Backup email aziendali: soluzioni pratiche per non perdere anni di comunicazioni

Un anno e mezzo fa mi ha chiamato un cliente alle sette di sera. Non capita spesso -- e quando capita, non e mai per una buona notizia. Un ransomware aveva cifrato tutto: server, NAS, postazioni. Ma la cosa che gli faceva tremare la voce non erano i file di progetto. Erano le email. Tre anni di corrispondenza con fornitori esteri, trattative, contratti scambiati via mail, ordini confermati. Tutto bloccato dietro una richiesta di riscatto in Bitcoin.

Il backup dei file? C'era, su un disco esterno scollegato. Lo avevo configurato io due anni prima. Le email? Nessun backup. Nessuno ci aveva mai pensato. "Ma stanno sul server del provider", mi ha detto. Come se il provider fosse una cassaforte indistruttibile.

Quella sera ho capito che il backup delle email aziendali e il buco piu grande nella sicurezza della maggior parte delle PMI italiane. Non perche sia difficile -- ma perche nessuno lo considera finche non e troppo tardi.

Perche il backup delle email e diverso dal backup dei file

Quando parlo di backup con i miei clienti, la risposta e quasi sempre la stessa: "Si, facciamo il backup. Abbiamo il disco esterno." Poi scopro che quel backup copre i file sul server, forse i database, forse i documenti sulle postazioni. Le email? Mai incluse.

Il motivo e semplice: le email non vivono dove vivono i file. I file stanno sul tuo server o sul tuo NAS -- li controlli tu. Le email stanno sul server del provider: Aruba, Register, Google Workspace, Microsoft 365. Sono su un'infrastruttura che non gestisci, con policy di retention che non hai scelto tu, e con garanzie di ripristino che spesso non esistono o non sono quelle che immagini.

C'e un'altra differenza fondamentale. Un file cancellato per errore lo noti subito -- lo cerchi e non c'e. Un'email cancellata per errore la noti quando ti serve, magari sei mesi dopo, quando il fornitore nega di averti mandato quel preventivo e tu non trovi piu la prova. Ne ho parlato nell'articolo sulla conservazione delle email aziendali: gli obblighi legali durano 10 anni, ma la maggior parte delle PMI non sa nemmeno dove sono le email di sei mesi fa.

Terzo punto: la struttura dei dati email e complessa. Non sono file singoli che copi da una cartella all'altra. Sono messaggi con allegati, organizzati in cartelle e sottocartelle, con metadati (data, mittente, destinatario, flag letto/non letto, etichette). Un backup serio deve preservare tutto questo -- altrimenti quando vai a ripristinare ti ritrovi con un ammasso di testo senza contesto.

Cosa NON e un backup email (anche se pensi che lo sia)

Prima di parlare di soluzioni, devo togliere dal tavolo tre cose che vedo scambiare per backup ogni settimana.

L'archivio di Outlook non e un backup. Il file PST o OST di Outlook e una copia locale delle email che hai scaricato. Se usi IMAP o Exchange, e una copia sincronizzata: se cancelli un'email dal server, sparisce anche dal PST. Se il disco del PC si rompe, perdi il PST. Se Outlook si corrompe -- e capita piu spesso di quanto si pensi -- il PST puo diventare illeggibile. Non e un backup: e un singolo punto di guasto mascherato da sicurezza.

Spostare le email in una cartella su Dropbox o OneDrive non e un backup. Esportare le email come file EML e metterle su un cloud storage non e inutile, ma non e un backup. Non hai la struttura delle cartelle, non puoi ripristinare in blocco, e se devi cercare un'email specifica tra migliaia di file EML buona fortuna. E un archivio grezzo, non un backup operativo.

Il cestino del provider non e un backup. Google Workspace tiene le email cancellate nel cestino per 30 giorni, poi le elimina definitivamente. Microsoft 365 funziona in modo diverso: le email nella cartella Deleted Items restano li finche non le svuoti tu, ma una volta svuotate finiscono nella cartella Recoverable Items, dove hai solo 14 giorni di default per recuperarle (estendibili a 30 tramite PowerShell). Dopo quei termini, le email sono irrecuperabili -- a meno che tu non abbia un piano con retention estesa o un sistema di backup esterno. Affidarsi al cestino come strategia di recupero e come affidarsi alla fortuna come strategia aziendale.

I rischi reali: quattro scenari che vedo ogni anno

Non parlo di ipotesi. Parlo di cose che ho gestito in prima persona.

Cancellazione accidentale. Un dipendente seleziona 200 email e preme Canc. Oppure svuota il cestino "per fare spazio". Oppure crea una regola automatica che sposta nella cartella sbagliata. Succede piu di quanto si pensi, e senza un backup indipendente non c'e modo di tornare indietro una volta che il cestino si svuota.

Ransomware. Ne ho parlato all'inizio dell'articolo. Il ransomware non cifra solo i file: se hai un client email configurato in locale con sincronizzazione, cifra anche le copie locali delle email. E se il ransomware e abbastanza sofisticato da compromettere le credenziali, puo accedere alla webmail e cancellare tutto anche dal server. Ho scritto un pezzo su come riconoscere le email di phishing -- ma il phishing e il vettore, il ransomware e il danno. E contro il danno, l'unica protezione reale e il backup.

Ex dipendente che svuota la casella. L'ultimo giorno di lavoro, il dipendente scontento seleziona tutto e cancella. Se la casella non e protetta da backup, quelle email sono perse. Alcune aziende se ne accorgono settimane dopo, quando il cestino del provider ha gia fatto il suo lavoro. Ho trattato il tema nell'articolo sulla privacy delle email aziendali: il protocollo di offboarding deve includere la protezione delle email prima dell'uscita del dipendente.

Provider che chiude o perde dati. Non e fantascienza. Provider email minori hanno chiuso senza preavviso, portandosi dietro le caselle dei clienti. Ma non servono scenari estremi: basta un errore tecnico del provider, un disco che si guasta nei loro data center, un bug nel sistema di storage. Se non hai una copia indipendente, dipendi dalla loro capacita di ripristino -- e dalla loro volonta di farlo gratis.

Soluzioni di backup locale: MailStore, eM Client e export manuale

Le soluzioni locali sono quelle che preferisco per le PMI con meno di 20 caselle. Il motivo e semplice: hai il controllo completo dei dati, non dipendi da un altro servizio cloud, e i costi sono prevedibili.

MailStore Server e lo strumento che uso di piu. E un software di archiviazione email che si installa su un server Windows o su una postazione dedicata. Si collega alle caselle email via IMAP o direttamente a Exchange/Microsoft 365/Google Workspace, scarica tutte le email e le archivia in un database locale indicizzato. Puoi cercare, esportare, ripristinare singole email o caselle intere. La licenza costa circa 295 EUR per 5 utenti (una tantum, con rinnovo annuale del supporto a circa 65 EUR). Per chi ha bisogno di qualcosa di piu leggero, MailStore Home e gratuito ma limitato a uso personale.

eM Client non nasce come strumento di backup, ma come client email. Pero ha una funzione di backup integrata che per le micro-imprese puo bastare. Fa un backup completo delle caselle configurate -- email, contatti, calendario -- su disco locale. La licenza Personal costa 39,95 EUR (o 59,95 EUR a seconda del piano), quella Business 49,95 EUR (o 79,95 EUR per device). Il limite: non e pensato per gestire il backup centralizzato di molte caselle. Va bene per chi ha 3-5 caselle e vuole una soluzione semplice.

Export manuale via Thunderbird. Per chi non vuole spendere nulla, Thunderbird puo scaricare le email via IMAP e salvarle in locale in formato MBOX. Con l'addon ImportExportTools NG puoi esportare cartelle intere. E gratuito e funziona, ma richiede disciplina: devi ricordarti di farlo, devi verificare che l'export sia completo, e non hai un sistema di restore automatizzato. Lo consiglio solo come soluzione temporanea, non come strategia permanente.

Soluzioni di backup cloud: Backupify, Spanning, SysCloud

Per le PMI che usano Google Workspace o Microsoft 365, le soluzioni cloud-to-cloud sono la scelta piu comoda. Il concetto: un servizio terzo si collega alla tua piattaforma e fa backup automatici delle email su un cloud separato. Se perdi qualcosa sulla piattaforma principale, ripristini dal backup.

Backupify (ora parte di Datto, acquisita da Kaseya) e uno dei piu noti. Si integra con Google Workspace e Microsoft 365. Backup automatico tre volte al giorno, retention personalizzabile, restore granulare (singola email, cartella o casella intera). Prezzo: circa 4 USD/utente/mese per Google Workspace, cifre simili per M365.

Spanning Backup (di Kaseya) e nella stessa famiglia di Backupify. Backup automatico giornaliero di email, Drive/OneDrive, contatti e calendari. Interfaccia semplice, pensata per chi non ha un reparto IT. Prezzo: circa 4 USD/utente/mese. La differenza con Backupify e principalmente nell'interfaccia e in alcune opzioni di granularita -- per una PMI la scelta tra i due e quasi indifferente.

SysCloud e l'alternativa che consiglio alle PMI che vogliono una soluzione europea. Ha server in UE, si integra con Google Workspace e Microsoft 365, e offre backup automatico con retention fino a 10 anni. Prezzo: circa 3-4 USD/utente/mese a seconda del piano. Per chi ha esigenze GDPR e vuole evitare di mandare il backup delle email su server americani, SysCloud e una scelta sensata. Ne ho parlato anche nel contesto della scelta tra hosting italiano e cloud internazionale: dove risiedono i dati conta, anche per i backup.

Export nativo: Google Takeout e Microsoft eDiscovery

Sia Google che Microsoft offrono strumenti nativi per esportare le email. Non sono soluzioni di backup nel senso stretto, ma sono utili come piano B o come export periodico per archiviazione.

Google Takeout permette a ogni utente di esportare tutte le proprie email in formato MBOX. L'amministratore di Google Workspace puo fare export di massa usando lo strumento di migrazione dati dalla console Admin. E gratuito, ma ha limiti: l'export non e automatizzabile (devi farlo manualmente o via script), non ha un sistema di restore integrato, e per caselle grandi puo impiegare ore. Lo uso come export periodico di sicurezza, non come backup primario.

Microsoft eDiscovery e Content Search in Microsoft 365 permettono di cercare e esportare email da una o piu caselle. Disponibili nei piani Business Premium e superiori, o con licenza E3/E5. Sono strumenti pensati per la compliance legale piu che per il backup operativo, ma funzionano anche per quello. L'export e in formato PST. Il limite: la curva di apprendimento e ripida e l'interfaccia non e intuitiva. Lo uso per i clienti che hanno gia Microsoft 365 Business Premium e non vogliono aggiungere un altro servizio.

Attenzione: ne Google Takeout ne eDiscovery sono sostituti di un backup vero. Sono strumenti di export -- il backup implica automazione, frequenza, retention e capacita di restore rapido. Queste cose gli export nativi non le hanno.

Come imposto il backup email per i miei clienti: protocollo operativo

Questo e il protocollo che seguo quando un cliente mi chiede di mettere in sicurezza le sue email. Non e teoria -- e quello che faccio ogni volta.

Passo 1: inventario. Quante caselle? Quanto spazio occupano? Quale provider? Ci sono caselle condivise o alias? Ci sono caselle di ex dipendenti ancora attive? L'inventario rivela quasi sempre sorprese -- caselle dimenticate, alias senza proprietario, caselle che occupano 10 volte piu dello previsto.

Passo 2: scelgo lo strumento. Per PMI su hosting italiano con meno di 20 caselle: MailStore Server su una postazione dedicata o un piccolo server. Per PMI su Google Workspace o Microsoft 365: backup cloud-to-cloud (SysCloud per chi vuole dati in UE, Backupify per chi vuole il brand piu noto). Per micro-imprese con 3-5 caselle: eM Client con backup su disco esterno cifrato.

Passo 3: configuro e testo. Installo lo strumento, configuro le caselle, lancio il primo backup completo. Poi testo il restore: prendo una casella, cancello un'email di test, la ripristino dal backup. Se il restore funziona, il backup funziona. Se il restore non funziona, il backup non esiste -- e solo una copia che ti fa sentire al sicuro.

Passo 4: documento. Scrivo un documento operativo per il cliente: cosa viene backuppato, con che frequenza, dove sono i backup, come si fa il restore, chi e responsabile. Questo documento finisce nella cartella "IT" dell'azienda e viene rivisto ogni 6 mesi.

Passo 5: test periodico. Ogni 3 mesi faccio un test di restore. Non lo delego, non lo rimando, non lo do per scontato. Un backup che non viene testato e una promessa -- non una garanzia.

Costi reali: quanto spende una PMI per il backup email

Metto i numeri sul tavolo. Questi sono i costi che i miei clienti hanno sostenuto nel 2025-2026.

PMI con 10 caselle su hosting italiano:

  • MailStore Server 10 utenti: circa 440 EUR (licenza) + circa 110 EUR/anno (rinnovo supporto)
  • Postazione dedicata o NAS per i backup: 300-500 EUR (una tantum, se non la hai gia)
  • Costo annuo dal secondo anno: circa 110 EUR. Meno di 1 EUR per casella al mese

PMI con 10 caselle su Google Workspace:

  • SysCloud o Backupify: circa 4 USD/utente/mese = circa 480 USD/anno (circa 440 EUR)
  • Nessun hardware aggiuntivo
  • Costo annuo: circa 440 EUR. Circa 3,70 EUR per casella al mese

PMI con 50 caselle su Microsoft 365:

  • Backupify o Spanning: circa 4 USD/utente/mese = circa 2.400 USD/anno (circa 2.200 EUR)
  • Costo annuo: circa 2.200 EUR. Circa 3,70 EUR per casella al mese
  • Alternativa: MailStore Server 50 utenti (circa 1.200 EUR licenza + 300 EUR/anno rinnovo) + NAS dedicato (500-800 EUR). Costo primo anno piu alto, dal secondo anno circa 300 EUR -- meno di 0,50 EUR per casella al mese

In tutti i casi, il costo del backup e una frazione del costo della perdita. Quel mio cliente con tre anni di email cifrate dal ransomware? Ha speso 8.000 EUR per il recupero parziale dei dati -- e ha recuperato solo il 60%. Il backup che gli avrebbe evitato tutto questo avrebbe costato meno di 500 EUR all'anno.

Frequenza, retention, test di restore: le tre cose che tutti dimenticano

Un backup senza queste tre cose e un'illusione. Le tratto una alla volta perche ognuna merita attenzione.

Frequenza. Per le email, il backup giornaliero e il minimo. Le soluzioni cloud-to-cloud come Backupify e SysCloud fanno backup automatici da una a tre volte al giorno -- non devi pensarci. Per MailStore, configuro una schedulazione giornaliera, solitamente di notte. Chi fa backup settimanale delle email rischia di perdere fino a una settimana di corrispondenza. Per una PMI che scambia decine di email al giorno con i clienti, una settimana persa e un disastro.

Retention. Per quanto tempo conservi i backup? La risposta dipende dagli obblighi di conservazione: la corrispondenza commerciale va tenuta 10 anni per legge. Ma non hai bisogno di 10 anni di backup incrementali -- hai bisogno di un archivio storico e di backup recenti per il ripristino operativo. Il mio schema: backup giornalieri per 30 giorni, settimanali per 6 mesi, mensili per 2 anni. L'archivio storico (MailStore o export annuale) per i 10 anni di legge.

Test di restore. Questa e la parte che il 90% delle PMI salta. Hai il backup, gira ogni notte, il log dice "completato con successo". Ma quando provi a ripristinare un'email di sei mesi fa, scopri che il backup era corrotto da tre mesi e nessuno se n'era accorto. Il test di restore e l'unica prova che il backup funziona. Ogni tre mesi, ripristino un'email o una cartella a caso. Se torna tutto -- struttura, allegati, metadati -- il backup e vivo. Se no, abbiamo un problema da risolvere oggi, non il giorno del disastro.

Se la tua azienda non ha un backup delle email e vuoi capire da dove partire, la scelta dello strumento dipende anche dalla piattaforma che usi. Ho fatto un confronto dettagliato tra Google Workspace e Microsoft 365 che ti aiuta a capire cosa offre ciascuno in termini di protezione nativa -- e dove servono strumenti aggiuntivi.

E se stai pensando di cambiare provider email, il backup e il primo passo da fare prima di qualsiasi migrazione. Non dopo. Prima.

Potrebbe interessarti