DR in cloud vs on-prem: confronto onesto

TL;DR

DR cloud e DR on-prem non sono "uno meglio dell'altro": rispondono a esigenze diverse. Cloud vince nel 90% dei casi nel 2026 per costo e flessibilità. On-prem resta valido per latenze sub-30 secondi, normative specifiche e ambienti completamente air-gap.

I cinque criteri di confronto

1. Costo a 3 anni

DR cloud: si paga storage + canone, il compute scatta solo durante il failover. Per 10 VM medie: €350-700/mese, sostanzialmente flat.

DR on-prem (secondo CED): hardware ammortizzato + spazio fisico + alimentazione + manutenzione. Ammortamento di un secondo CED minimo per la stessa capacità: €1.500-3.000/mese, più costi una tantum di setup (€20-40k).

Cloud vince 3:1 a 3 anni per la fascia SMB. La differenza si assottiglia per aziende con > 200 VM.

2. RTO ottenibile

Cloud DR ben configurato: 5-30 minuti. On-prem hot standby: 30 secondi-2 minuti. On-prem cold standby: ore.

Per RTO sub-minuto serve infrastruttura on-prem. Sopra il minuto il cloud è competitivo.

3. Complessità operativa

Cloud: il provider gestisce hardware, ridondanza, sostituzione dischi. Voi gestite policy e test. On-prem: gestite tutto, incluso il personale on-call per problemi notturni.

In termini di FTE: cloud richiede 0,3-0,5 FTE per gestire DR di un'azienda media; on-prem richiede 1-1,5 FTE.

4. Conformità

Cloud con provider certificati (ISO 27001:2022, 27017, 27018) trasferisce metà del lavoro di evidenza al provider. Per NIS2 e ISO 27001 è un vantaggio reale.

On-prem richiede di costruire e mantenere tutte le evidenze in proprio: facility audit, controlli di accesso, gestione fisica delle dismissioni dei dischi.

5. Sovranità dei dati

Per NIS2 e gare PA, il cloud deve essere italiano (non solo europeo). Sefthy è ospitata su datacenter italiani.

On-prem garantisce sovranità per costruzione ma con il costo della complessità operativa.

Quando ha senso il secondo CED on-prem

Tre casi specifici:

• regolamentazione settoriale: difesa, intelligence, sanità di livello 3 con vincoli specifici;
• RTO sub-30 secondi: trading, controllo industriale real-time;
• air-gap totale: sistemi di sicurezza nazionale che non possono toccare Internet.

Tutto il resto è meglio in cloud nel 2026.

L'ibrido che funziona

Per chi ha già un secondo CED on-prem ammortizzato, una strategia ibrida valida è:

• on-prem per i sistemi mission-critical con RTO < 5 min (DC, ERP);
• cloud DR per il resto (file server, dev, test, archivi).

Il cloud riduce il TCO senza buttare via gli investimenti fatti.

FAQ

Posso fare DR cloud verso un cloud "europeo" e dichiararmi NIS2?

Tecnicamente sì, ma per le entità essenziali NIS2 e per le gare PA italiane un cloud sovrano italiano è un vantaggio competitivo significativo.

Quanto vale il rischio di lock-in cloud?

Reale ma gestibile: scegliete provider con export documentati dei backup e tenete copie offline mensili come hedge.

DR ibrido aumenta o diminuisce la complessità?

Aumenta. Vale solo se l'on-prem è già ammortizzato e ben gestito.

Per i costi nascosti del DR fatto in casa, leggi I costi nascosti del DR fai-da-te. Per la sovranità dei dati nello specifico, Geo-ridondanza Italia.