L’outsourcing delle risorse hardware verso data center di terze parti è una delle decisioni infrastrutturali con le implicazioni di sicurezza più durature. A differenza di un servizio cloud, dove l’infrastruttura è per definizione astratta e gestita dal provider, il colocation o l’housing di hardware fisico in un data center esterno crea una dipendenza che combina dimensioni tecnologiche, fisiche e contrattuali difficilmente separabili.

L’hardware dell’organizzazione risiede fisicamente in un edificio che non controlla, gestito da personale che non dipende da essa, con sistemi impiantistici per l’alimentazione, il raffreddamento e la soppressione incendi la cui qualità determina direttamente la disponibilità e l’integrità dei propri dati e servizi.

Outsourcing hardware e data center: perché la sicurezza fisica è strategica

Questa dipendenza è strutturalmente diversa da quella verso un CSP cloud. Un hyperscaler come AWS o Azure offre SLA contrattuali sulla disponibilità del servizio, ma non concede accesso diretto alle proprie strutture fisiche per ispezione o audit.

Un data center provider di colocation, al contrario, ospita hardware di proprietà del cliente in ambienti che il cliente ha il diritto e l’interesse di valutare direttamente: la struttura dell’edificio, i sistemi di ridondanza elettrica, le procedure di controllo degli accessi fisici, i piani di emergenza.

Questa possibilità di verifica diretta è al tempo stesso un vantaggio e una responsabilità: chi non la esercita si affida a dichiarazioni commerciali invece che a evidenze concrete.

Per le organizzazioni nei settori critici NIS2, che spesso mantengono hardware fisico in data center esterni per ragioni di latenza, compliance sulla data residency o continuità operativa, la qualità della struttura che ospita i propri sistemi è un elemento diretto del programma di gestione del rischio.

Un incidente fisico al data center, che può essere un’interruzione elettrica, un malfunzionamento del sistema di raffreddamento, un incendio o un accesso fisico non autorizzato, si traduce immediatamente in un incidente di sicurezza per il soggetto NIS2 ospitato, con tutti i conseguenti obblighi di notifica ad ACN e potenziali impatti sanzionatori.

Dunque, per un corretto inquadramento strategico è importante:

• Trattare la selezione del data center provider con lo stesso rigore del Vendor Risk Assessment per i CSP cloud: la struttura fisica che ospita i propri server è un vendor critico a tutti gli effetti.
• Verificare contrattualmente il diritto di sopralluogo fisico prima della firma: un data center provider che non consente audit fisici ai clienti è un segnale di allerta significativo.
• Per i soggetti NIS2: documentare la valutazione del data center provider come parte del programma di sicurezza della supply chain.

Standard di classificazione: Tier Uptime Institute e EN 50600

La valutazione di un data center provider parte dalla sua classificazione secondo gli standard riconosciuti del settore. I due framework principali, il sistema Tier dell’Uptime Institute e lo standard europeo EN 50600, offrono approcci complementari alla classificazione della resilienza infrastrutturale, con sovrapposizioni significative ma differenze metodologiche rilevanti per il contesto europeo e normativo NIS2.

Il sistema Tier Uptime Institute

Il sistema Tier dell’Uptime Institute è lo standard di classificazione più diffuso a livello globale, organizzato in quattro livelli che definiscono la disponibilità garantita e il grado di ridondanza dei sistemi infrastrutturali.

La certificazione Tier è rilasciata dall’Uptime Institute dopo una valutazione indipendente della struttura e dei suoi sistemi: non è autocertificata dal provider, ma verificata da un ente terzo accreditato.

Questo la distingue da molte dichiarazioni commerciali di «equivalenza Tier» che circolano nel mercato senza validazione indipendente.

Per le organizzazioni nei settori critici NIS2, il livello minimo raccomandabile per il housing di sistemi che supportano funzioni essenziali è Tier III, con manutenzione concorrente che consente interventi senza interruzione del servizio, mentre il Tier IV è il riferimento per le infrastrutture più critiche, dove anche un singolo guasto non deve causare interruzioni.

È importante verificare che la certificazione Tier si applichi all’intera struttura e non solo a specifiche sale o componenti: alcune certificazioni parziali non garantiscono i livelli di disponibilità dichiarati per l’intera facility.

EN 50600: lo standard europeo

La norma EN 50600 (serie completa: 50600-1 fino a 50600-2-x) è lo standard europeo sviluppato da CENELEC per la classificazione delle infrastrutture dei data center.

A differenza del sistema Tier, che valuta principalmente la ridondanza dei sistemi, EN 50600 adotta un approccio più ampio, che include la valutazione dell’efficienza energetica (PUE, Power Usage Effectiveness), la sicurezza fisica, la gestione ambientale e la sicurezza delle informazioni.

La classificazione EN 50600 si articola in quattro categorie di disponibilità (da 1 a 4, analoghe ai Tier) con l’aggiunta di indicatori specifici per ogni dominio valutato.

Per il contesto europeo e NIS2, EN 50600 ha un vantaggio rilevante rispetto al sistema Tier: è allineato con il framework normativo europeo e include requisiti espliciti per la sicurezza delle informazioni che si sovrappongono con i requisiti NIS2 per le infrastrutture digitali.

ENISA cita EN 50600 nelle proprie linee guida sulla sicurezza dei data center come standard di riferimento per la valutazione della resilienza infrastrutturale.

Per le organizzazioni che devono dimostrare la conformità NIS2 delle proprie scelte infrastrutturali ad ACN, un data center certificato EN 50600 offre una base documentale più robusta rispetto a uno con sola certificazione Tier.

Sicurezza fisica: perimetro, accessi e sorveglianza

Nella valutazione della sicurezza di un data center in outsourcing è importante anche tenere in conto quella che è la sicurezza fisica dell’infrastruttura.

Controllo degli accessi fisici

Il controllo degli accessi fisici è il primo perimetro di sicurezza di un data center e uno degli indicatori più immediati della sua maturità operativa.

Un data center sicuro implementa controlli a strati successivi, la cosiddetta difesa in profondità fisica, che richiedono multiple verifiche di identità prima di consentire l’accesso alle sale server.

Il perimetro esterno (recinzione, barriere fisiche, guardiania), il perimetro dell’edificio (tornelli, controllo badge, videosorveglianza), l’accesso alla sala server (lettori biometrici, doppia autenticazione, mantrap) e, infine, l’accesso ai singoli rack (serrature fisiche, logging degli accessi): ogni livello aggiuntivo riduce la probabilità che un accesso non autorizzato raggiunga l’hardware critico.

La gestione degli accessi dei visitatori è un’area di frequente debolezza anche in strutture altrimenti ben progettate.

Il personale del cliente che accede per manutenzione dell’hardware, i tecnici del provider che intervengono sui sistemi impiantistici, i vendor di terze parti che lavorano nella facility: tutti questi soggetti devono essere registrati, identificati, accompagnati e tracciati.

Anche la procedura di escorting, ossia l’obbligo di accompagnamento da parte del personale del data center per tutta la durata della visita, è una misura fondamentale che i data center più strutturati implementano sistematicamente ma che viene spesso allentata per ragioni di convenienza operativa.

Videosorveglianza e sistemi di rilevamento intrusioni

Un sistema di videosorveglianza efficace in un data center deve coprire senza zone cieche tutti i perimetri di accesso, i corridoi, le sale server e le aree tecniche.

Le telecamere devono essere a risoluzione sufficiente per l’identificazione delle persone, con illuminazione notturna garantita e registrazione continua con retention di almeno 90 giorni.

Per i data center che ospitano infrastrutture classificate come critiche, la retention a 6 o 12 mesi è il riferimento raccomandato da ENISA.

Il sistema di videosorveglianza deve essere monitorato in tempo reale da un SOC fisico dedicato, non solo registrato per consultazione post-evento: un’anomalia rilevata in tempo reale può prevenire un incidente; una registrazione consultata dopo i fatti documenta solo il danno già avvenuto.

I sistemi di rilevamento di intrusioni fisiche (PIR, sensori a microonde, sistemi perimetrali a fibra ottica) completano il quadro della sorveglianza con copertura nelle aree dove le telecamere non possono garantire rilevamento in tempo reale.

Per le aree particolarmente critiche, sale UPS, locali generatori, nodi di interconnessione, i sensori di rilevamento intrusioni devono essere integrati con sistemi di allarme che attivano una risposta immediata da parte del personale di sicurezza fisico presente in loco 24 ore su 24, 7 giorni su 7.

Sicurezza impiantistica: alimentazione, raffreddamento e antincendio

Analogamente alla sicurezza fisica di un data center in outsourcing, è importante valutare anche la sicurezza impiantistica.

Ridondanza elettrica: UPS, generatori e linee dedicate

L’alimentazione elettrica è il sistema impiantistico con il maggiore impatto sulla disponibilità di un data center.

Un’interruzione di alimentazione non gestita può causare la perdita di dati in corso di elaborazione, il danneggiamento di hardware per spegnimento improvviso e, nei casi più gravi, la corruzione di sistemi storage.

La ridondanza elettrica di un data center di qualità si articola su tre livelli: la connessione a più linee di alimentazione elettrica provenienti da diverse sottostazioni (eliminando il single point of failure sulla rete pubblica), un sistema UPS (Uninterruptible Power Supply) dimensionato per garantire continuità durante il transitorio di commutazione ai generatori, e generatori diesel con autonomia di almeno 72 ore e contratti di fornitura carburante per il rabbocco in caso di emergenza prolungata.

Per i sistemi classificati come critici NIS2, la configurazione 2N (in cui ogni componente dell’infrastruttura elettrica è completamente duplicato con percorsi indipendenti, corrispondente al Tier IV) è il riferimento ottimale.

La configurazione N+1 (Tier III), pur garantendo la manutenzione concorrente, non elimina completamente il rischio di interruzione in caso di doppio guasto.

Durante il sopralluogo, è importante verificare non solo la presenza dei componenti di ridondanza ma anche la frequenza e i risultati dei test periodici: un generatore mai testato sotto carico reale è un generatore di cui non si conosce l’affidabilità effettiva.

Raffreddamento e gestione termica

Il raffreddamento è il secondo sistema critico per la disponibilità di un data center: il surriscaldamento dell’hardware è una delle cause più frequenti di guasto e può causare danni permanenti ai componenti in tempi molto brevi.

Un sistema di raffreddamento efficace combina unità CRAC (Computer Room Air Conditioning) o CRAH (Computer Room Air Handler) ridondanti, gestione del flusso d’aria con corsie calde e fredde separate, e sistemi di monitoraggio ambientale continuo (temperatura e umidità) con alert automatici al superamento delle soglie critiche.

Per le sale server ad alta densità, dove la potenza dissipata per rack supera i 10-15 kW, si adottano soluzioni di raffreddamento in-row o liquid cooling che richiedono infrastrutture specifiche.

La ridondanza del sistema di raffreddamento segue la stessa logica di quella elettrica: N+1 per i data center Tier III, 2N per i Tier IV. Un guasto a un singolo chiller o CRAC non deve determinare il surriscaldamento della sala.

Il dato del PUE (Power Usage Effectiveness), cioè il rapporto tra l’energia totale consumata dal data center e quella utilizzata effettivamente dall’IT, è un indicatore indiretto della qualità del sistema di raffreddamento: un PUE inferiore a 1,5 indica un sistema efficiente e ben dimensionato; un PUE superiore a 2,0 segnala sprechi che spesso si accompagnano a criticità nella gestione termica.

Sistemi antincendio e soppressione

I sistemi antincendio di un data center devono bilanciare due esigenze apparentemente in conflitto: rilevare e spegnere un incendio rapidamente, minimizzando il danno all’hardware.

I sistemi di soppressione a gas inerte, come FM-200 (HFC-227ea), Novec 1230 o azoto, sono lo standard nei data center moderni perché non danneggiano l’hardware elettronico e non lasciano residui, a differenza degli sprinkler ad acqua che, pur efficaci nell’estinzione, causano danni da allagamento tipicamente superiori al danno da incendio in un ambiente IT.

Il rilevamento precoce tramite sistemi VESDA (Very Early Smoke Detection Apparatus) – che analizzano continuamente l’aria campionata dalle sale server per rilevare tracce di fumo a livelli impercettibili agli occhi – consente di intervenire prima che un principio di incendio diventi un incendio vero e proprio.

Due diligence fisica e Vendor Risk Management: il collegamento necessario

La valutazione della sicurezza fisica di un data center non è un’attività separata dal programma di Vendor Risk Management: è una delle sue componenti più concrete e verificabili.

Mentre molti aspetti del rischio fornitore si basano su dichiarazioni, certificazioni e questionari di self-assessment, la sicurezza fisica di un data center può essere verificata direttamente e oggettivamente attraverso il sopralluogo.

Questa possibilità di verifica diretta è un vantaggio che i responsabili della sicurezza e i consulenti devono sfruttare sistematicamente.

La protezione perimetrale e i sistemi antincendio delle strutture ospitanti condizionano la continuità operativa del committente. L’ispezione di tali parametri fisici rientra nella valutazione dei rischi IT aziendale: un data center con sistemi impiantistici non adeguati o con procedure di accesso fisico carenti è un vendor ad alto rischio, indipendentemente dalla qualità dei propri SLA contrattuali.

L’integrazione della valutazione fisica nel programma VRM si realizza attraverso tre strumenti complementari:

1. il questionario di pre-qualificazione (da somministrare prima del sopralluogo per verificare le dichiarazioni di conformità);
2. il sopralluogo fisico (la verifica diretta degli impianti e delle procedure);
3. l’audit periodico (la verifica che le condizioni rilevate nel sopralluogo iniziale siano mantenute nel tempo).

Per i data center che ospitano infrastrutture critiche NIS2, il sopralluogo iniziale deve essere integrato da audit periodici — almeno biennali — e da verifiche documentali annuali dei test impiantistici.

Sicurezza logica nel data center fisico: la convergenza IT/OT

I data center moderni sono ambienti in cui la convergenza tra sistemi IT e sistemi OT (Operational Technology) è una realtà operativa quotidiana.

I sistemi BMS (Building Management System) che gestiscono climatizzazione, illuminazione e controllo degli accessi fisici, i sistemi DCIM (Data Center Infrastructure Management) che monitorano l’infrastruttura IT e impiantistica in modo integrato, i sistemi SCADA che controllano i generatori e gli UPS: tutti questi componenti sono sistemi informatici connessi in rete, spesso con interfacce di gestione accessibili da remoto, e tutti presentano superfici di attacco specifiche che i modelli di sicurezza IT tradizionali tendono a sottovalutare.

La verifica della sicurezza IT/OT deve essere parte integrante della valutazione del data center provider.

Le domande chiave da porre durante il sopralluogo riguardano:

• come sono segmentate le reti OT dai sistemi IT dei clienti;
• chi ha accesso remoto ai sistemi BMS e DCIM e con quali controlli di autenticazione;
• con quale frequenza vengono aggiornati i firmware dei sistemi impiantistici;
• se esiste un programma strutturato di vulnerability management che includa i sistemi OT.

Un data center che gestisce i propri sistemi OT con la stessa disciplina dei sistemi IT (patching regolare, accessi privilegiati controllati, monitoraggio delle anomalie) è un partner infrastrutturale significativamente più affidabile di uno che tratta i sistemi di gestione della facility come sistemi legacy non soggetti a gestione della sicurezza.

Requisiti NIS2 e normativi per il data center in outsourcing

Per le organizzazioni nei settori critici NIS2 che utilizzano data center in outsourcing, la direttiva introduce obblighi che si applicano direttamente alla scelta e alla gestione del provider fisico. L’art. 24 del D.lgs. 138/2024, nella parte relativa alla sicurezza della supply chain e alla continuità operativa, richiede che le organizzazioni valutino e presidino i rischi associati ai fornitori di infrastruttura fisica, inclusi i data center che ospitano i propri sistemi.

Questo obbligo non è interpretabile in senso restrittivo come limitato ai fornitori di servizi digitali: un data center di colocation che ospita hardware critico per l’erogazione di un servizio essenziale è un fornitore critico a tutti gli effetti della direttiva.

I data center che rientrano nella categoria «infrastrutture digitali» dell’Allegato I di NIS2, ovvero quelli che superano le soglie dimensionali previste e che erogano servizi a soggetti essenziali o importanti, sono essi stessi soggetti NIS2 e devono rispettare i requisiti della direttiva in proprio.

Per le organizzazioni clienti, questo significa che possono richiedere evidenza della conformità NIS2 del proprio data center provider come parte della due diligence sulla supply chain, un diritto che dovrebbe essere esercitato sistematicamente per i provider che ospitano infrastrutture critiche.

Sul piano normativo italiano, i data center che ospitano sistemi rientranti nel perimetro di sicurezza nazionale cibernetico (D.L. 105/2019) sono soggetti a requisiti aggiuntivi specifici, inclusa la possibilità di ispezione da parte di ACN e l’obbligo di notifica di eventuali incidenti fisici che impattino sulla disponibilità o integrità dei sistemi del perimetro.

Per le organizzazioni con sistemi nel perimetro di sicurezza nazionale, la scelta del data center provider richiede una valutazione preventiva con ACN e la verifica che il provider soddisfi i requisiti tecnici specifici definiti nei decreti attuativi.

Come selezionare e auditare un data center provider

Ecco, quindi, una comoda guida pratica per selezionare e auditare un data center provider.

Il processo di selezione: dalla RFP al contratto

La selezione di un data center provider per l’outsourcing di infrastrutture critiche deve seguire un processo strutturato che non si limita alla comparazione dei listini prezzi.

Il punto di partenza è la definizione dei requisiti minimi non negoziabili, certificazione Tier III o EN 50600 categoria 3 come soglia minima per sistemi critici, posizione geografica (distanza adeguata dalla sede principale per i requisiti di disaster recovery, ma non tale da rendere impraticabile l’intervento fisico in emergenza), conformità NIS2 per i provider che rientrano nel perimetro, a cui si aggiungono i criteri di valutazione comparativa per i provider che soddisfano i requisiti minimi.

Il questionario di pre-qualificazione è lo strumento che consente di raccogliere le informazioni necessarie per una prima valutazione senza effettuare sopralluoghi presso tutti i candidati.

Deve coprire le certificazioni, i sistemi impiantistici e la loro ridondanza, le procedure di sicurezza fisica, i piani di business continuity, la gestione degli incidenti, i riferimenti di clienti esistenti.

I provider che non rispondono in modo dettagliato e documentato al questionario o che rispondono con materiale commerciale generico invece che con documentazione tecnica specifica, devono essere deprioritizzati prima del sopralluogo.

Il sopralluogo fisico: la checklist operativa

Il sopralluogo fisico è il momento di verifica più prezioso nella valutazione di un data center provider.

Non deve essere un tour commerciale guidato dal responsabile vendite del provider: deve essere una verifica tecnica strutturata, condotta da personale con competenze specifiche sugli impianti data center, con una checklist che copra sistematicamente tutte le aree critiche.

La checklist che segue è organizzata per domini e comprende i controlli essenziali per una valutazione completa.

• Struttura e perimetro fisico
  • Verificare la solidità strutturale dell’edificio e la distanza da rischi ambientali (zone alluvionali, vicino ad aeroporti, impianti industriali a rischio).
  • Verificare la presenza di barriere fisiche perimetrali adeguate (recinzione, bollard antintrusione veicolare, illuminazione perimetrale notturna).
  • Verificare la presenza e la funzionalità del sistema di videosorveglianza perimetrale con copertura senza zone cieche.
  • Verificare la presenza di personale di sicurezza fisica in loco 24/7, non solo telecamere.
• Controllo accessi fisici
  • Verificare la presenza di controllo accessi a strati multipli: perimetro edificio → sala server → rack.
  • Verificare l’utilizzo di autenticazione multi-fattore per l’accesso alle sale server (badge + biometrico o PIN).
  • Verificare la presenza di mantrap (camera di sicurezza a doppia porta) all’ingresso delle sale server critiche.
  • Verificare la procedura di gestione visitatori: registrazione, accompagnamento obbligatorio, log degli accessi ai rack.
  • Richiedere un campione del log degli accessi fisici recenti per verificare la completezza della tracciatura.
• Alimentazione elettrica
  • Verificare il numero e l’indipendenza delle linee di alimentazione esterna (≥2 da sottostazioni diverse per Tier III+).
  • Verificare la capacità e il dimensionamento degli UPS rispetto al carico installato, con documentazione del test di autonomia più recente.
  • Verificare il numero di generatori, la loro capacità totale e l’autonomia dichiarata con il carico attuale.
  • Richiedere il report del più recente test dei generatori sotto carico reale (non solo a vuoto): data, durata, esito, anomalie rilevate.
  • Verificare l’esistenza di contratti di fornitura carburante prioritaria per emergenze prolungate.
• Raffreddamento e ambiente
  • Verificare la separazione fisica delle corsie calde e fredde e la copertura del sistema di raffreddamento.
  • Verificare la ridondanza delle unità CRAC/CRAH e il piano di failover in caso di guasto di un’unità.
  • Richiedere il dato del PUE medio degli ultimi 12 mesi e verificarlo rispetto ai valori dichiarati nel contratto.
  • Verificare la presenza di sensori di monitoraggio ambientale (temperatura, umidità) con alert automatici e logging continuo.
  • Verificare l’esistenza di procedure di escalation in caso di superamento delle soglie termiche critiche.
• Antincendio
  • Verificare la tipologia del sistema di rilevamento: VESDA (aspirazione precoce) o ionizzazione/ottico tradizionale.
  • Verificare il tipo di agente estinguente: gas inerte (FM-200, Novec 1230, IG-541) per le sale server; verificare l’assenza di sprinkler ad acqua nelle aree IT.
  • Richiedere il report del più recente test del sistema di rilevamento e il certificato di manutenzione del sistema di soppressione.
  • Verificare la data dell’ultima ispezione VVF e la validità del certificato di prevenzione incendi (CPI).
  • Verificare la presenza di estintori manuali adeguati nelle aree di servizio adiacenti alle sale server.
• Connettività e sicurezza logica
  • Verificare il numero e la diversità dei carrier di connettività presenti nella struttura (almeno 2 carrier indipendenti con percorsi fisici diversi).
  • Verificare la segmentazione di rete tra sistemi OT della facility (BMS, DCIM) e reti IT dei clienti.
  • Verificare le modalità di accesso remoto ai sistemi di gestione della facility: autenticazione MFA, log degli accessi, VPN dedicata.
  • Richiedere evidenza del programma di vulnerability management sui sistemi OT e sul firmware dei dispositivi impiantistici.
• Documentazione e governance
  • Verificare l’esistenza e l’aggiornamento del piano di Business Continuity e Disaster Recovery del data center.
  • Richiedere la documentazione dei principali incidenti degli ultimi 3 anni (elettrici, termici, fisici) e le relative azioni correttive.
  • Verificare l’esistenza di procedure documentate per le notifiche ai clienti in caso di incidente che impatti i loro sistemi.
  • Verificare la conformità alle normative locali applicabili: CPI VVF, autorizzazioni edilizie, conformità ambientale.

Dalla valutazione al contratto: tradurre i requisiti fisici in obblighi contrattuali

I risultati del sopralluogo fisico e del questionario di pre-qualificazione devono tradursi in clausole contrattuali specifiche che rendano vincolanti per il provider gli standard verificati durante la valutazione.

Un data center provider che durante il sopralluogo mostra un sistema di raffreddamento ridondante e generatori testati semestralmente deve impegnarsi contrattualmente a mantenere questi standard per tutta la durata del rapporto e a notificare il cliente in caso di variazioni significative dell’infrastruttura che possano impattare sui livelli di disponibilità garantiti.

Le clausole contrattuali specifiche per il data center fisico devono coprire: gli SLA di disponibilità elettrica e di raffreddamento (separati dagli SLA di connettività), l’obbligo di mantenimento delle certificazioni Tier o EN 50600 per tutta la durata del contratto con notifica immediata in caso di variazione, l’obbligo di notifica al cliente di qualsiasi incidente fisico (elettrico, termico, intrusione) che coinvolga o possa coinvolgere i sistemi ospitati entro un termine breve (4 ore), il diritto di sopralluogo periodico con preavviso concordato, e le condizioni di cessazione del servizio con modalità di restituzione dell’hardware e cancellazione dei dati residui nei sistemi del provider.

La sicurezza di un data center in outsourcing è, in definitiva, il fondamento fisico su cui poggia tutta la catena della sicurezza digitale che questo piano editoriale ha esplorato: la cloud compliance, il vendor risk management, gli SLA di sicurezza, l’IT security audit, lo SCRM, la gestione del lock-in, la conformità NIS2.

Una governance eccellente costruita su un’infrastruttura fisica inadeguata è una governance esposta a rischi che nessuna policy o certificazione può eliminare. Investire nella valutazione rigorosa del data center provider non è un esercizio burocratico: è la premessa necessaria per qualsiasi programma di sicurezza che voglia essere realmente efficace.