Il cloud avrebbe dovuto semplificare tutto. E per la maggior parte dei carichi di lavoro è stato così. Per chi lavora in un ambiente Microsoft, Microsoft 365 ha promesso, e in gran parte mantenuto, un mondo in cui e-mail, calendari e collaborazione funzionano e non c'è bisogno di pensare ai server che li supportano.
Ma il mondo sta cambiando. Le tensioni commerciali e le dispute sulla sovranità dei dati lo dimostrano. E le interruzioni non sono più un caso isolato.
Nel gennaio 2026, Microsoft 365 non funziona a livello globale. L'e-mail si è interrotta. L'Outlook non si caricava. L'accesso al calendario è scomparso. Il raggio d'azione non era una sola azienda. Si trattava di tutti gli inquilini della piattaforma, tutti insieme.
Per ogni organizzazione che si è trovata senza un ripiego, la continuità aziendale è stata minacciata. E per le organizzazioni che operano in base a normative come DORA o NIS2, questo non è più solo un problema operativo. Si tratta di una mancanza di conformità normativa, con il rischio di multe, segnalazioni obbligatorie e potenziali interventi di vigilanza.
Il campanello d'allarme normativo: "Il venditore non era in grado di rispondere" non è più una risposta
In diverse giurisdizioni e settori, le autorità di regolamentazione stanno alzando l'asticella del significato effettivo di continuità operativa:
- DORA (entrata in vigore nel gennaio 2025): Le organizzazioni del settore finanziario devono mantenere e testare regolarmente piani di continuità ICT documentati, garantire che i sistemi rimangano operativi durante le interruzioni e mitigare attivamente i rischi derivanti da fornitori di cloud di terze parti. La presenza di uno SLA non è considerata una mitigazione adeguata.
Le autorità di vigilanza hanno il potere di imporre piani di risanamento, condurre audit supplementari, limitare determinate attività commerciali o aumentare la sorveglianza se le organizzazioni risultano non conformi.
- NIS2: estende obblighi quasi identici all'energia, alla sanità, ai trasporti, alla pubblica amministrazione e alle infrastrutture digitali. I sistemi di posta elettronica rientrano esplicitamente nel campo di applicazione. Le sanzioni raggiungono 2% del fatturato annuo globale. L'onere della prova spetta all'organizzazione, non all'ente regolatore.
Le autorità di regolamentazione possono imporre azioni correttive, richiedere prove dettagliate della conformità e, nei casi più gravi, limitare o vietare le operazioni commerciali relative a servizi essenziali o importanti fino al ripristino della conformità.
- GDPR e sovranità dei dati: I dati di posta elettronica conservati esclusivamente presso i fornitori di cloud con sede negli Stati Uniti sono soggetti alla divulgazione obbligatoria prevista dalla legge statunitense CLOUD, indipendentemente dalla posizione fisica dei server. Per le organizzazioni europee che operano in settori regolamentati come l'assistenza sanitaria, i servizi legali e la ricerca clinica, questo rappresenta una reale e continua esposizione alla conformità.
Le autorità di regolamentazione si aspettano che le organizzazioni dimostrino il controllo sulla residenza dei dati e sulla giurisdizione legale, una garanzia che nessun hyperscaler può fornire completamente per conto della vostra organizzazione.
Queste non sono le uniche normative che richiedono la continuità operativa. A seconda del settore e dell'area geografica, molte altre normative prevedono obblighi simili:
|
Regolamento |
Ambito di applicazione |
Requisito BCP |
|
HIPAA |
Assistenza sanitaria e soci d'affari negli Stati Uniti |
La pianificazione delle emergenze è un requisito esplicito delle Regole di sicurezza; i server di posta elettronica sono citati nell'ambito di applicazione. |
|
FISMA / NIST SP 800-53 |
Agenzie federali e appaltatori statunitensi |
Famiglia di controllo completa per i piani di emergenza; copre tutti i sistemi informativi, compresa l'infrastruttura di comunicazione. |
|
FDA 21 CFR Parte 11 / Allegato UE 11 |
Farmaceutica, biotecnologia, dispositivi medici a livello globale |
L'Allegato 11 richiede esplicitamente accordi di continuità documentati per i sistemi che supportano i processi regolamentati. |
|
APRA CPS 230 |
Banche e compagnie di assicurazione australiane |
In vigore dal luglio 2025, la CPS 230 richiede un BCP credibile e regolarmente testato che copra tutte le operazioni critiche, ed estende esplicitamente gli obblighi ai fornitori di servizi terzi, compresi i fornitori di cloud. |
|
SOX |
Società statunitensi quotate in borsa |
I controlli IT della Sezione 404 richiedono implicitamente disposizioni in materia di disponibilità e ripristino per i sistemi che supportano il reporting finanziario, compresa la posta elettronica. |
|
GLBA (norma di salvaguardia della FTC) |
Istituzioni finanziarie statunitensi |
La norma aggiornata del 2023 richiede esplicitamente disposizioni sulla continuità operativa come parte del programma di sicurezza delle informazioni. |
|
NYDFS 23 NYCRR Parte 500 |
Società di servizi finanziari con licenza di New York |
Richiede protocolli di continuità operativa e di disaster recovery, compresi test annuali; le entità coperte non possono delegare la responsabilità della conformità a fornitori terzi. |
Il filo conduttore di tutti questi framework è lo stesso: l'organizzazione è responsabile della continuità, non il fornitore. L'affermazione "il nostro fornitore di cloud si è guastato" non soddisfa nessun revisore in nessuna di queste giurisdizioni.
La soluzione: Costruire un'architettura resiliente di tipo Active-Standby
La risposta non è abbandonare l'M365. È estenderlo. Adottando un'architettura active-standby, è possibile ottenere resilienza e continuità aziendale senza interrompere gli utenti finali.
In questa architettura, un ambiente gestisce 100% di traffico live in stato normale. Un secondo ambiente mantiene la parità continua e assume il traffico quando il primario si guasta. Naturalmente, il flusso di failover deve essere pianificato e testato in anticipo, in modo che sia verificabile e attivabile in caso di necessità.
Come si evince dal diagramma seguente, tre sono gli aspetti chiave che costituiscono le fondamenta di un'architettura active-standby:
1 - An strumento di sincronizzazione automaticacome CB Exchange Server Sync, per mantenere la parità bidirezionale di posta e calendario tra le varie piattaforme, mantenendo il pieno controllo della posizione dei dati.
2 - A gateway di posta, come Postfix, per fornire un buffer controllato in modo da poter reindirizzare le e-mail a endpoint secondari durante un'interruzione.
3 - Profili di client di posta elettronica pre-creati, per passare rapidamente gli utenti a questi endpoint secondari. Tutti gli utenti finali devono disporre di profili preimpostati per entrambi i sistemi, per evitare ritardi nella configurazione "First Run". Si consiglia di utilizzare il classico Outlook come client di posta elettronica o di assicurarsi che tutti gli utenti siano addestrati all'uso di OWA come soluzione di ripiego “zero setup”.
Diagramma dell'architettura Active-Standby
Per l'ambiente alternativo in stand-by, si possono prendere in considerazione le due opzioni seguenti, a seconda delle preferenze infrastrutturali e dei requisiti di sovranità dell'organizzazione.
Opzione 1: M365 + Exchange On-Premises
Ideale per: organizzazioni con requisiti di sovranità dei dati, settori regolamentati, attività con sede nell'UE o infrastrutture on-premise esistenti.
Come funziona:
- Il sistema Exchange on-premises viene utilizzato come ambiente alternativo di standby ed è ospitato nel data center dell'organizzazione.
- L'CB Exchange Server Sync mantiene una sincronizzazione bidirezionale continua di posta, contatti e calendari tra Microsoft 365 e l'Exchange on-premise. Tutti i dati diventano identici in entrambi i sistemi.
- Nello stato normale, Microsoft 365 gestisce tutto il traffico live.
- In caso di failover, la posta viene instradata automaticamente attraverso l'Exchange in sede.
Come si presenta il flusso di failover per l'utente finale:
- Outlook desktop, mobile e OWA si collegano all'ambiente disponibile.
- L'interfaccia è identica (nessun nuovo sistema da imparare, nessuna procedura di emergenza da seguire).
- La posta creata durante l'interruzione si sincronizza automaticamente con Microsoft 365 al momento del ripristino.
Vantaggi della sovranità dei dati:
- I dati delle e-mail a riposo risiedono nel datacenter dell'organizzazione, sotto la sua giurisdizione, su hardware che controlla.
- Catena di custodia completa e verificabilità
- Risposta diretta e dimostrabile alle disposizioni sul rischio di terzi del DORA
Cosa vedono i revisori: Un ambiente di standby vivo, funzionante e testabile. Non un documento di politica. Non un riferimento SLA. La prova della continuità.
Opzione 2: M365 + Google Workspace
Ideale per: Le organizzazioni che preferiscono la ridondanza completa del cloud, quelle che stanno già valutando la diversificazione dei fornitori o quelle che non dispongono di un'infrastruttura on-premise (o di un team che consideri la possibilità di averne una).
Come funziona:
- Google Workspace viene utilizzato come ambiente alternativo di standby. Si tratta di un'infrastruttura del fornitore separata, di un'impronta del datacenter diversa e di una superficie di guasto diversa.
- Un gateway di posta, come Postfix, centralizza l'ingresso e gestisce l'instradamento, controllando il flusso di failover indipendentemente dalla propagazione degli MX.
- CB Exchange Server Sync mantiene costantemente la parità bidirezionale di posta e calendario con Google Workspace in background. I dati saranno gli stessi in entrambi i sistemi.
- In condizioni normali, Microsoft 365 gestisce 100% di traffico live.
- In caso di failover, un routing flip semiautomatico sul gateway reindirizza il traffico a Google Workspace.
- In questo modo si evita l'MX brain-split (il conflitto di instradamento che si verifica quando le modifiche ai record MX si propagano in modo incoerente tra i resolver DNS durante una transizione live).
Come si presenta il flusso di failover per l'utente finale:
- Gli utenti che conoscono l'Outlook possono utilizzarlo tramite i connettori di posta durante il periodo di failover o passare alle interfacce Gmail Web o Gmail Mobile.
Nota sulla sovranità dei dati:
Questa opzione è conveniente perché evita la necessità di possedere o mantenere l'infrastruttura, ma non offre la stessa garanzia di proprietà on-premises dell'opzione 1. La sovranità dei dati dipende dalla configurazione dell'implementazione di Google Workspace e dalle impostazioni della regione. Per le organizzazioni con requisiti di giurisdizione rigorosi, l'opzione 1 è la scelta migliore.
Cosa condividono entrambe le opzioni
Indipendentemente dal modello di distribuzione più adatto all'organizzazione, l'architettura sottostante offre le stesse garanzie:
- Ridondanza invisibile agli utenti finali e visibile ai revisori.
- Architettura Active-Standby con sincronizzazione continua. Nessun standby a freddo, nessun ripristino del backup, nessun recupero manuale dei dati.
- A flusso di failover che viene pianificato e testato prima che sia necessario
Il guadagno: Dal costo della conformità all'architettura competitiva
- La predisposizione all'audit come stato predefinitoQuando un esaminatore DORA o NIS2 chiede come l'organizzazione assicura la continuità della posta elettronica, la risposta è un sistema attivo e funzionante, non un documento di policy che fa riferimento a uno SLA del fornitore.
- La sovranità come elemento di differenziazione commerciale: Nell'UE, molti contratti del settore pubblico e delle infrastrutture critiche richiedono un trattamento dei dati all'interno del Paese o solo nell'UE. In Australia, l'APRA CPS 230 estende tale responsabilità direttamente ai fornitori terzi. Negli Stati Uniti, strutture come il CJIS dell'FBI e il NYDFS richiedono alle organizzazioni - e non ai loro fornitori - di mantenere un controllo rigoroso sui dati sensibili. In tutti e tre i casi, le organizzazioni in grado di dimostrare la sovranità dei dati si aggiudicano mandati che i concorrenti del solo cloud non possono offrire.
- Zero-trust, reso operativo per la posta elettronicaLa postura BCP più resiliente parte dal presupposto che qualsiasi sistema possa guastarsi e lo progetta di conseguenza. L'architettura active-standby con sincronizzazione continua presentata in precedenza rappresenta l'aspetto di questa ipotesi quando viene applicata al carico di lavoro che le organizzazioni possono permettersi di perdere.
- Investimenti all'avanguardia: le organizzazioni che investono nella resilienza della posta elettronica ibrida oggi stanno assumendo una posizione proattiva, posizionandosi in anticipo rispetto alle richieste normative, operative e di mercato, invece di reagire a posteriori.
Pensieri finali
Il cloud avrebbe dovuto semplificare tutto. Per la maggior parte dei carichi di lavoro, ci è riuscito. Ma La semplicità senza resilienza è solo fragilità con un nome migliore.
Quando le autorità di regolamentazione vengono a chiamare, o quando un'interruzione importante porta al blocco delle operazioni, pensate “ci siamo fidati dello SLA del nostro fornitore” sarà una risposta accettata?
L'era della fiducia cieca nei tempi di attività di un singolo fornitore di cloud è finita, soprattutto per i sistemi aziendali critici come la posta elettronica. L'e-mail è l'unico canale di comunicazione che funziona indipendentemente dalla piattaforma utilizzata dalla controparte. Probabilmente è per questo che è al centro di quasi tutte le interazioni critiche per l'azienda. È fondamentale per ogni rapporto con i clienti, per ogni obbligo normativo, per ogni affare in corso. Quando fallisce, tutto ciò che è a valle fallisce con esso.
Per le organizzazioni che in precedenza si affidavano esclusivamente a Microsoft 365, la creazione di un'architettura a doppio ambiente, sperimentabile, non è solo prudenza tecnica. Si tratta ora di buon senso normativo. Che si tratti dell'aggiunta di uno standby Exchange on-premise per una sovranità completa o di un failover cloud-to-cloud con Google Workspace per una diversità di fornitori, il punto è lo stesso.
La resilienza deve essere progettata fin dall'inizio, in modo che quando la semplicità viene meno, non venga meno la continuità.
Volete saperne di più su questo tipo di architettura Active-Stanby e come CB Exchange Server Sync potrebbe funzionare nel vostro scenario? Assicuratevi una sessione di consulenza gratuita con i nostri esperti tecnici:
Glossario
APRA CPS 230 - Autorità australiana di regolamentazione prudenziale, Standard Prudenziale CPS 230
DORA - Legge sulla resilienza operativa digitale
FDA 21 CFR Part 11 - U.S. Food and Drug Administration, Titolo 21 Codice dei regolamenti federali Parte 11
FISMA - Legge federale sulla gestione della sicurezza delle informazioni
TIC - Tecnologia dell'informazione e della comunicazione
NIS2 - Europeo direttiva sui sistemi di rete e di informazione (NIS)
SLA - Accordo sul livello di servizio
Continua a leggere Google Workspace
Sull'autore
Da Ana Neto, consulente tecnico a Connecting Software.
"Sono un ingegnere informatico dal 1997, con un amore più recente per la scrittura e il public speaking". Avete domande o commenti su questo articolo? Mi piacerebbe avere il vostro feedback, lasciate un commento qui sotto!"
