La protezione del dato si trasforma: dal backup al controllo del perimetro, l’acquisizione che segna il cambio di paradigma

Un’acquisizione da 1,725 miliardi di dollari ha spostato i confini del mercato della data protection: Veeam ha comprato Securiti AI, uno dei leader nella gestione della postura di sicurezza del dato, portando dentro la propria piattaforma governance, conformità e visibilità sui dati sensibili. Fino a ieri separati, oggi convergono in un’unica infrastruttura.

Il segnale da leggere è la direzione, non l’entità del prezzo: chi gestisce il backup si compra chi sa dove stanno i dati sensibili, chi vi accede, come sono esposti. La protezione del dato smette di essere un’operazione a valle (recuperare dopo il disastro) e diventa una disciplina continua di controllo del perimetro.

Questo cambio arriva adesso per ragioni strutturali. NIS2, GDPR applicato con più aggressività, ransomware che cifra e sottrae dati invece di bloccarli soltanto: il backup da solo non risponde più a nessuna di queste tre pressioni. Un’azienda che recupera i propri sistemi in quattro ore ma non sa quali dati personali erano esposti al momento dell’attacco ha un problema di conformità enorme, indipendentemente dalla velocità del ripristino. Le autorità di vigilanza non chiedono “avete recuperato i dati?”, chiedono “sapevate cosa avevate e chi ci aveva accesso?”.

La separazione tra strumenti di backup e strumenti di governance ha prodotto lacune sistematiche. Protezione da un lato, visibilità dall’altro: due stack distinti, due contratti, due team, spesso due vendor diversi. Il risultato è che le aziende che subiscono un incidente scoprono a posteriori dove erano i dati critici, invece di saperlo prima.

Da backup a data resilience: cosa cambia con la governance dentro la piattaforma

Securiti AI opera nella categoria DSPM (Data Security Posture Management): mappa i dati sensibili all’interno di un’organizzazione, identifica chi vi accede, valuta l’esposizione al rischio, segnala configurazioni errate prima che diventino incidenti. È quello che mancava alle piattaforme di backup tradizionali: prevenzione e visibilità continuativa, prima ancora che recupero.

La differenza concettuale è sostanziale. Il backup classico parte dall’assunzione che il disastro arriverà: crea copie, le protegge, le rende recuperabili. DSPM parte dall’assunzione opposta: i dati sensibili sono già esposti in qualche misura, è necessario saperlo adesso e ridurre l’esposizione in modo continuativo. Integrare le due discipline significa che la stessa piattaforma che custodisce le copie dei dati sa anche dove si trovano i dati originali, chi li tocca e come sono classificati.

Questa convergenza cambia anche il rapporto con la conformità normativa. Un’azienda che deve rispondere a una notifica di violazione GDPR ha 72 ore per informare l’autorità con informazioni precise: quali categorie di dati erano coinvolte, quante persone interessate, quali misure erano in atto. Senza una mappatura continua dei dati sensibili, rispondere in 72 ore è un’impresa difficile. Con DSPM integrato nel layer di backup e recovery, le informazioni sono già strutturate.

Sul fronte tecnico, l’aggiornamento alla versione 13.1 della piattaforma di Veeam porta oltre 70 miglioramenti: crittografia post-quantum, scansione malware integrata su AWS, Azure, Microsoft 365 e NAS, supporto esteso dagli originali 7 a 13 hypervisor (tra cui Proxmox, XCP-ng, Citrix XenServer, Scale Computing e Sangfor). Quest’ultima voce è rilevante: la proliferazione di ambienti di virtualizzazione alternativi a VMware, accelerata anche dai rincari post-acquisizione Broadcom, ha prodotto frammentazione infrastrutturale nelle aziende. Coprire 13 hypervisor riduce il rischio di gap nella copertura del backup per chi è in migrazione.

Vent’anni di protezione dati e la prossima scommessa: chi possiede il perimetro completo

Veeam compie vent’anni quest’anno: fondata nel 2006 per la protezione delle macchine virtuali, conta oggi 550.000 aziende clienti in 150 paesi, con l’80% delle Fortune 500 nel portafoglio e un fatturato software che supera i 2 miliardi. La piattaforma copre anche scenari di backup gratuito su Windows, il che spiega parte dell’ampiezza del parco clienti. Gartner la colloca al primo posto nel Magic Quadrant per la data protection da nove anni consecutivi; IDC la indica come prima per capacità di esecuzione da sei anni. Sono numeri che descrivono un’azienda arrivata al limite di crescita nel mercato del backup puro: a quel punto, o si consolida verticalmente aggiungendo categorie, o si assottiglia nei margini.

L’acquisizione di Securiti AI è consolidamento verticale, quello che allarga il perimetro verso una categoria adiacente che i clienti già cercano separatamente, con vendor diversi e processi distinti. La logica è quella che ha ridisegnato il mercato della sicurezza dieci anni fa, quando i vendor di firewall hanno comprato aziende di endpoint protection, poi di SIEM, poi di XDR: i clienti non vogliono più orchestrare dieci tool diversi per una sola funzione.

Alla conferenza dove è stato presentato il deal, Sergio Bellucci della Facoltà AI dell’Università della Pace dell’ONU ha inquadrato l’AI come “tecnologia costituente” del nostro tempo, segnalando il rischio di biforcazione tecnologica tra blocchi geopolitici. È un tema che si innesta direttamente sulla questione della protezione del dato: la sovranità tecnologica comincia dalla conoscenza di dove risiedono i propri dati critici, in quale infrastruttura cloud, sotto quale giurisdizione, con quali garanzie di accesso in caso di conflitto normativo tra stati. DSPM integrato risponde anche a questa domanda.

Il mercato si muove nella stessa direzione su più fronti. Vendor di backup che acquisiscono competenze di sicurezza, vendor di sicurezza che aggiungono capacità di backup e recovery, provider cloud che integrano entrambe le funzioni nativamente: il perimetro della data protection si sta allargando verso la data resilience, intesa come capacità di resistere agli incidenti prima ancora che di recuperare dopo.

Chi separa backup, sicurezza e conformità in tre stack distinti paga in tre modi: complessità di integrazione, lacune di visibilità che emergono solo quando c’è un problema, e costi di governance moltiplicati perché ogni tool porta con sé un contratto, un team e un processo di audit separato. La convergenza è la risposta strutturale al fatto che gli attacchi moderni colpiscono simultaneamente la disponibilità dei dati (ransomware), la riservatezza (esfiltrazione) e la conformità (violazione GDPR/NIS2).

Chi possiede il perimetro completo, dalla copia di backup alla mappa dei dati sensibili, vince la gara per diventare la piattaforma centrale dell’infrastruttura dati delle organizzazioni. Gli altri diventano componenti che qualcuno integra, o candidati alla prossima acquisizione. Il mercato della protezione del dato si sta consolidando: l’ha già fatto nel backup classico, e ora ripete il ciclo un livello sopra. Chi sceglie oggi i propri fornitori in questa categoria dovrebbe ragionare su quale perimetro saranno in grado di coprire fra tre anni, più che su quello che offrono adesso.

Chi valuta soluzioni di data protection nel 2026 dovrebbe chiedere ai vendor una risposta concreta su tre punti: come mappano i dati sensibili prima dell’incidente, come integrano la conformità normativa nel layer di recovery, e come si posizionano rispetto alla convergenza backup-governance. Le risposte vague su questi tre punti sono un segnale diagnostico preciso.