BLOG

Backup vs Conservazione: differenze tecniche e normative

Data ultimo aggiornamento:

09/06/2026

Affidarsi esclusivamente al backup aziendale per affrontare il tema della conservazione documentale è un errore diffuso in molte organizzazioni.
“Abbiamo il backup: siamo coperti anche sulla conservazione” è una delle convinzioni più diffuse (e più rischiose) nelle infrastrutture documentali aziendali, che non tiene conto della profonda differenza tra backup e Conservazione Digitale a Norma.

Backup e Conservazione sono in realtà due attività concettualmente e strutturalmente diverse: confondere questi due ambiti significa confondere requisiti di continuità operativa IT con quelli previsti dalla compliance normativa documentale.

Per la continuità operativa IT è ampiamente sufficiente il backup dei dati aziendali, essenziale per garantire disaster recovery e ripristino dei sistemi.
Tuttavia, questa ottima pratica non ha alcuna relazione con la Conservazione Digitale a Norma e la compliance documentale, in base a come essa è configurata dal CAD (D.Lgs. 82/2005) e dalle Linee Guida AgID.

Non si tratta di una questione marginale: confondere backup e conservazione espone le aziende a rischi legali significativi: il concetto chiave è che i documenti salvati solo su backup non hanno validità probatoria, non sono opponibili in giudizio, non soddisfano gli obblighi fiscali di conservazione.

Definizione: cos’è il backup dati aziendali e a cosa serve

Il backup è una semplice copia tecnica dei dati aziendali, allocata su supporti di memorizzazione alternativi e finalizzata al ripristino in caso di guasto hardware, errore umano, cyberattacco o disastro naturale.
È un’attività puramente IT, ed è orientata solamente alla business continuity.

Quali sono le caratteristiche tecniche del backup?

Il backup, in sostanza, duplica i file nella loro rappresentazione digitale grezza: la sequenza di bit viene copiata da storage primario (server, NAS) a storage secondario (disco esterno, tape, cloud) senza alcuna trasformazione del contenuto.
Si tratta di una copia bit-per-bit del flusso binario, che risulta identica al file originale e modificabile allo stesso modo.

Differenza tra backup e Conservazione Digitale a Norma / 1: assenza di firma digitale e marca temporale

Un file su backup è, tecnicamente, solo una copia del flusso binario originale. Non è mai stato sottoposto ad alcun processo di certificazione: non porta con sé alcuna garanzia sull’identità di chi lo ha prodotto, né sulla data in cui è stato creato, né sull’integrità del suo contenuto nel tempo.

In relazione ai requisiti di conformità, bisogna quindi in primo luogo considerare che:

un documento salvato su backup non ha firma digitale qualificata apposta;
non ha marca temporale RFC 3161 certificata;
non è accompagnato da metadati conformi AgID;
non è infine incluso in file indice con codice hash.

Differenza tra backup e Conservazione Digitale a Norma / 2: Modificabilità totale

Un PDF, un documento Word, un foglio Excel salvato su backup può essere aperto con l’applicazione nativa: può quindi essere modificato liberamente e poi essere risalvato, sovrascrivendo l’originale o con nuovo nome.
Può anche essere cancellato definitivamente.

Nessuna di queste operazioni, come è evidente, lascia una traccia certificata: se un file su backup viene alterato e poi ripristinato non esiste modo di dimostrare la manomissione senza controlli forensi complessi e costosi.

Il backup, in altre parole, ha una funzione squisitamente tecnica: serve a ripristinare server e storage dopo crash hardware, recuperare file cancellati accidentalmente, proteggere da ransomware e malware permettendo un ripristino integrale alla situazione precedente.
Può inoltre fungere da garanzia tecnica in rapporto alle esigenze di disaster recovery geografico.

Resta, in ogni caso, uno strumento IT: un presupposto funzionale per rispettare gli SLA di uptime aziendale, senza alcuna ricaduta sul piano normativo, dell’opponibilità o della conservazione a norma.

Quali sono le strategie di backup più comuni?

La Regola 3-2-1

La Regola 3-2-1 è una della best practice da utilizzare quando si parla di protezione dati:

3 copie dei dati (originale + 2 backup)
2 tipi di media diversi (es. disco + tape, disco locale + cloud)
1 copia off-site geograficamente distante

Identificare i parametri RTO e RPO

RTO e RPO sono metriche critiche di disaster recovery:

con RTO (Recovery Time Objective) si intende il tempo massimo tollerabile di inattività (ad esempio, 4 ore di fermo-uffico) di un sistema;
con RPO (Recovery Point Objective) si intende invece la massima perdita dati tollerabile (ad esempio, 1 ora di transazioni e-commerce).

Se il backup è progettato correttamente, è in grado di rispettare RTO e RPO coerenti con le esigenze di business, e allo stesso tempo funge da parametro per avere e fornire ai clienti gli SLA operativi.
Ma anche RTO e RPO non sono parametri sufficienti per garantire la validità legale dei documenti nel tempo.

Definire le responsabilità IT

Il backup – come detto – è un’attività gestita dal reparto IT (o da fornitori IT esterni): solitamente, l’IT Manager definisce la strategia backup, mentre i sistemisti configurano l’infrastruttura, il monitoraggio automatico, i test periodici di ripristino.
Qui l’ambito è puramente tecnico: garantire che i dati siano recuperabili in caso di incidente.

Non sono invece esclusiva competenza IT le tematiche di governance documentale complessiva – così come non sono automatiche le responsabilità legali sulla validità dei documenti.
Come affermano gli esperti di conservazione, “Il backup salva il bit, ma è la conservazione che salva il documento e la sua storia digitale”.

Cos’è la Conservazione Digitale a Norma?

La Conservazione Digitale a Norma è un processo legale disciplinato da normativa specifica (CAD, Linee Guida AgID), finalizzato a garantire validità probatoria permanente ai documenti informatici.
È un’attività di compliance, non un’attività esclusivamente IT.

Quale normativa regola la Conservazione Digitale a Norma?

La conservazione è regolata da:

D.Lgs. 82/2005 (Codice dell’Amministrazione Digitale), art. 43–art. 44
Linee Guida AgID sulla formazione, gestione e conservazione documenti informatici (dicembre 2022)
Regolamento UE 910/2014 (eIDAS) per firma digitale qualificata
Normative fiscali (DPR 600/73, Codice Civile art. 2220)

Il processo deve seguire fasi precise definite dalla norma: non può essere adattato arbitrariamente.

Conservazione Digitale a Norma

Quali sono le fasi del processo di conservazione?

La Conservazione Digitale a Norma non è un’operazione singola, ma un processo articolato in fasi sequenziali, ciascuna con un ruolo preciso nella catena di custodia documentale.

1. Acquisizione e metadatazione

Il documento va acquisito nel sistema di conservazione.
Nel momento dell’acquisizione, devono essergli attribuiti 40 campi metadati obbligatori AgID:

identificativi (ID univoco, ID pacchetto)
temporali (data formazione)
strutturali (formato, dimensione, hash SHA-256)
descrittivi (oggetto, autore)
gestionali (riservatezza)
conservazione (soggetto conservatore)

2. Firma digitale qualificata

Sul documento viene apposta una firma digitale conforme eIDAS, emessa da una Certification Authority accreditata.
La firma garantisce autenticità, integrità e non ripudio: nessuno può disconoscerla o alterare il documento senza che la modifica risulti immediatamente rilevabile.

3. Marca temporale RFC 3161

La Marca Temporale RFC 3161 è uno degli elementi chiave della Conservazione Digitale a Norma.
Certifica sia la data sia l’ora certa di apposizione della firma: è emessa da una TSA (Time Stamping Authority) certificata e garantisce opponibilità temporale: il documento esiste con quel contenuto da quella data

4. Calcolo codice hash SHA-256

Il processo prevede l’utilizzo del codice hash SHA-256, un algoritmo crittografico one-way pensato per creare (e calcolare) un’impronta digitale univoca del documento.
Il codice hash trasforma un flusso binario modificabile in un documento certificato immodificabile: la sua particolarità è quella di avere una lunghezza fissa di 64 caratteri esadecimali, che cambiano radicalmente alla modifica del file.

È il meccanismo che rende tecnicamente impossibile alterare il documento senza che la manomissione venga rilevata: qualsiasi modifica (anche di un singolo carattere, di un singolo bit) altera completamente l’hash, ed è una modifica che si può facilmente verificare.

La verifica dell’hash (ricalcolo + confronto) infatti è immediata e automatizzabile, e se l’hash attuale è diverso dall’ hash conservato, allora il documento è stato alterato (e si perde la validità probatoria).

5. File-indice e pacchetto di versamento

I documenti non vengono inviati singolarmente, ma aggregati in un pacchetto certificato: viene creato un file XML, che funge da contenitore strutturato. Esso contiene:

la lista completa dei documenti (e tutti i metadati associati, incluso il codice hash SHA-256 di ogni file);
la firma digitale del responsabile della conservazione.

Questo file-indice svolge una funzione cruciale: trasforma documenti singoli e indipendenti in un pacchetto certificato unitario, con valore probatorio complessivo, garantendo la coerenza e l’integrità dell’intero lotto documentale.

6. Deposito presso conservatore accreditato

Il pacchetto così costituito viene inviato a un conservatore certificato AgID (Aruba, Intesi Group, Ifin Sistemi, EnerJ Sicurezza…) attraverso canali sicuri, utilizzando un trasferimento cifrato via protocollo FTPS o mediante API dedicate.

Una volta ricevuto, il pacchetto viene custodito su un’infrastruttura tecnologica certificata ISO 27001 che garantisce i massimi standard di sicurezza.
Al completamento del processo, il conservatore rilascia una ricevuta di presa in carico che attesta formalmente l’avvenuta acquisizione del materiale documentale.

Da questo momento il documento è conservato a norma.

Chi è responsabile della conservazione digitale?

La conservazione non è responsabilità IT, ma del responsabile della conservazione, figura obbligatoria dal 1° gennaio 2022.

Quali sono i compiti del responsabile della conservazione?

Il responsabile della conservazione ha una serie di compiti a monte, in itinere e a valle di tutto il processo.
Egli deve:

Definire policy di conservazione aziendale
Redigere e mantenere aggiornato il manuale della conservazione
Monitorare il processo e verificare non-rottura catena di custodia
Interfacciarsi con conservatore accreditato
Eseguire quadratura annuale documenti conservati
Firmare digitalmente i file indice dei pacchetti di versamento

Il responsabile può quindi certamente avvalersi dell’IT per aspetti infrastrutturali (movimentazione file, integrazione sistemi, connettività), ma le decisioni strategiche (cosa conservare, come, quando, per quanto tempo) sono di sua competenza.
In altre parole, sia il backup sia la conservazione richiedono collaborazione tra l’IT e le altre funzioni aziendali, ma entrambi i casi richiedono ruoli precisi e responsabilità distinte.

Quali sono le responsabilità del reparto IT per superare la differenza tra backup e Conservazione Digitale a Norma?

Per il backup, le responsabilità del reparto IT riguardano la progettazione dell’architettura (software, hardware, cloud), la configurazione dei job automatici, il monitoraggio dell’esecuzione e la configurazione e la presa in carico degli alert di errore.

Inoltre, è buona prassi effettuare test periodici di ripristino, occuparsi della gestione storage e della scalabilità, organizzare un accurato disaster recovery planning per garantire la business continuity IT.

Per superare invece la differenza tra backup e Conservazione Digitale a Norma, il reparto IT deve invece:

fornire l’infrastruttura per la movimentazione complessiva dei file verso il sistema di conservazione
integrare gestionali/ERP con la piattaforma conservazione (tramite API o connettori)
garantire connettività sicura con conservatore (FTPS, VPN)
monitorare performance e disponibilità servizi, garantendo il supporto tecnico a tutti gli utenti aziendali.

L’IT insomma è un facilitatore tecnico, non il decisore (e il responsabile automatico) sugli aspetti normativi e legali.

Come integrare Backup e Conservazione Digitale a Norma nella stessa architettura?

Backup e conservazione, insomma, non si escludono, ma coesistono con finalità diverse.
L’architettura corretta tiene conto della differenza tra backup e Conservazione Digitale a Norma, e prevede entrambi i processi integrati, con un approccio multi-dipartimentale.

IT: si occupa di infrastruttura, movimentazione, integrazione
Amministrazione: segue documenti fiscali/contabili, scadenze
Legale: opera riguardo contratti, corrispondenza legale, contenziosi
Operations: cura i flussi documentali operativi
Direzione: approva policy, budget e auditing

Come sottolineano gli esperti, “il ruolo IT è fondamentale ma strumentale. Le decisioni su cosa conservare e come competono al responsabile della conservazione in collaborazione con le altre funzioni aziendali”.

PecOrganizer, ActiveInfo e M-Files per superare la differenza tra backup e Conservazione Digitale a Norma

Euroged offre PecOrganizer, ActiveInfo e M-Files come piattaforme che integrano:

Acquisizione automatica documenti da gestionali aziendali
Metadatazione conforme AgID 2022
Firma digitale massiva automatizzata
Conservazione presso partner accreditati (Aruba, Intesi, Ifin, EnerJ)
Interfaccia con sistemi backup esistenti per sincronizzazione
Dashboard unificata per monitorare backup status + conservazione status

Questo approccio garantisce contemporaneamente continuità operativa IT e compliance normativa documentale, evitando il rischio di affidarsi solo al backup per soddisfare obblighi legali di conservazione.

Richiedi la valutazione gratuita della tua architettura documentale

Progetta un’integrazione ottimale tra backup IT e Conservazione Digitale a Norma, garantendo contemporaneamente business continuity e compliance legale.

Gli esperti Euroged analizzeranno: