e-archiving

Oais 2025 e zero-trust: l’alleanza per blindare gli archivi digitali

OAIS 2025 introduce nuove funzioni di sicurezza, mentre Zero-Trust offre una protezione continua contro attacchi. Insieme, queste strategie forniscono un sistema di conservazione digitale più sicuro, che verifica continuamente identità e integrità dei dati archiviati

Pubblicato il 18 lug 2025

Daniela Lucia Calabrese

Digital Transformation Expert- SpritzMatter

cybersicurezza in sanità Meta fisco italiano audit sicurezza informatica ia nella cybersecurity medico competente GDPR ideah OAIS 2025 e Zero-Trust; truffa criptovalute; protectUE; hacker etico; Gestione degli incidenti informatici e sicurezza cybersecurity sanitaria cybersecurity Italia 2025

Nel 2024 il costo medio globale di un data-breach ha toccato 4,88 milioni di dollari, il balzo più alto registrato dalla pandemia in poi. Nell’era dell’iper-produzione di documenti nativi digitali, l’archivio non è più un deposito “immutabile”: è un bersaglio attraente per ransomware, insider e attacchi alla supply-chain.

Modello Oais, così in Italia si fa l’e-Archiving conforme a eIDAS 2.0

Indice degli argomenti

L’importanza di OAIS 2025 nel contesto della conservazione digitale

A marzo 2025 è arrivata la terza edizione di ISO 14721:2025, meglio nota come OAIS, che sostituisce la release 2012 e ridefinisce gli standard di conservazione a lungo termine introducendo diverse novità, anche in tema sicurezza.

Che cosa introduce OAIS 2025

La nuova versione resta fedele alle sei funzioni tradizionali dell’OAIS, ma alza l’asticella sotto vari aspetti. Per la prima volta compaiono i Preservation Objectives, indicatori misurabili che rendono “testabile” l’obiettivo di independent understandability dell’informazione. Nasce poi la funzione di Preservation Watch, un vero radar che monitora l’obsolescenza tecnologica e i cambiamenti nelle esigenze delle comunità di riferimento. Il testo si allinea inoltre al PAIS (Producer-Archive Interface Specification), chiarendo i flussi SIP, AIP e DIP, e dedica l’intero Annex F alle considerazioni sulla sicurezza: qui emerge l’obbligo di verificare l’identità del produttore, sigillare i log e seguire standard di storage security come ISO/IEC 27040.

In sintesi, OAIS 2025 ribadisce la centralità della conservazione a lungo termine ma chiarisce che autenticità, integrità e disponibilità devono accompagnare ogni fase di vita degli AIP, non soltanto il loro deposito.

Come Zero-Trust rinforza la protezione dei dati digitali

Mentre l’OAIS si aggiornava, il NIST SP 800-207 consacrava un’architettura che parte da un presupposto drastico: l’attaccante va considerato presente in ogni segmento di rete e non esiste fiducia implicita. La stessa postura “never trust, always verify” è stata richiamata da ENISA nel Threat Landscape 2024 come leva chiave per proteggere i dati più sensibili.

Applicata ai repository documentali, la logica Zero-Trust impone di isolare logicamente ogni vault, di sottoporre chiunque, umano o processo automatico, a un’autenticazione forte e continua, di rendere fisicamente o logicamente immutabili i supporti (con tecnologie WORM su nastro o con S3 Object Lock in modalità compliance, che blocca qualsiasi cancellazione o sovrascrittura durante il periodo di retention), e di alimentare un sistema di monitoraggio comportamentale capace di intervenire in tempo reale. L’ultimo tassello è la messa a punto di playbook di risposta agli incidenti e di test di restore periodici, perché la resilienza dev’essere provata e non solo dichiarata.

Integrazione tra OAIS 2025 e Zero-Trust per la sicurezza dei dati

Nel momento dell’Ingest, l’Annex F dell’OAIS chiede di validare l’identità del produttore e il paradigma Zero-Trust traduce la raccomandazione in policy adattive: un pacchetto proveniente da domini non governati passa prima in sandbox, dove firma digitale e digest sono verificati.

Quando il contenuto raggiunge l’Archival Storage, l’OAIS prescrive il controllo “dei bit” e vieta cancellazioni ad-hoc. Zero-Trust rafforza il perimetro con segmenti di rete dedicati, cifratura di default, storage WORM e analisi degli hash delta, in linea con i controlli enumerati da ISO/IEC 27040:2024.

Sulla componente di Data Management, i nuovi Preservation Objectives domandano verifiche periodiche e misurabili: la telemetria continua tipica di Zero-Trust fornisce le metriche sugli accessi e sulla coerenza dei metadati, trasformando il requisito in un dashboard “vivo”.

Nel momento dell’Access, il rischio di lateral movement si riduce perché ogni token è valido solo per la singola sessione e viene rivalutato dal policy engine prima di ogni operazione, come raccomandato dal modello NIST.

Infine, la sezione Preservation Planning, arricchita da Preservation Watch, dialoga naturalmente con i feed di threat-intel: una vulnerabilità di formato o un’allerta ransomware può innescare la revisione immediata delle policy Zero-Trust o persino la migrazione pro-attiva degli AIP.

Il ruolo della micro-segmentazione nella protezione degli archivi: un esempio pratico

Nel 2024 un gruppo bancario paneuropeo, da anni già conforme al modello OAIS, ha deciso di alzare la difesa dei propri archivi digitali dopo un assessment che stimava in 6,08 milioni di dollari il costo medio di un data-breach per il settore financial, secondo l’IBM Cost of a Data Breach Report 2024. Cosa hanno fatto?

Scudo di rete: micro-segmentazione in subnet SDN

Il team di sicurezza ha ricostruito l’“Archival Storage” dentro una subnet SDN isolata, lo strato di virtual-networking, ispirato al modello di micro-segmentazione citato tra le architetture Zero-Trust di NIST SP 800-207, fa sì che ogni pacchetto passi per un policy enforcement point. Se un malware compromette un server applicativo, non può “saltare” nell’area che ospita gli AIP: il movimento laterale viene bloccato prima di toccare i file d’archivio.

Che cos’è una subnet SDN

È un segmento di rete creato e governato via software: le regole di routing e di sicurezza non dipendono più da apparati fisici, ma da policy che si aggiornano in tempo reale. Ciò rende possibile creare micro-perimetri estremamente stretti attorno a ogni vault documentale.

Immutabilità primaria: S3 Object Lock

All’interno della subnet, gli AIP vengono scritti su Amazon S3 con Object Lock in modalità compliance: la funzione WORM “write once, read many” impedisce qualsiasi cancellazione o sovrascrittura finché non scade la retention selezionata. In pratica il bucket S3 diventa un “notaio cloud” che garantisce l’integrità giuridica dei pacchetti OAIS.

Copia di salvataggio: Vault immutabili

Ogni notte AWS Backup riversa gli stessi AIP in un Backup Vault Lock configurato in compliance mode: scaduto il “grace period” di 72 ore, nessun account, neppure l’amministratore root, può più cambiare retention o cancellare i recovery point. Il vault è ospitato in un account separato, così l’eventuale compromissione del dominio di produzione non intacca le copie di sicurezza.

Il test di fuoco: tentativo di ransomware

A ottobre 2024 un ransomware ha raggiunto la rete di produzione e ha cifrato diversi volumi applicativi. L’attacco, però, non ha oltrepassato la subnet SDN: gli indirizzi IP della zona “archivio” non erano instradabili dall’esterno. Gli aggressori hanno quindi puntato ai backup, ma il vault immutabile ha rifiutato ogni comando di cancellazione/modifica. Grazie all’Object Lock i file d’archivio sono rimasti intatti. Il team ha lanciato il restore direttamente dal vault e, in poche ore, ha ripristinato l’operatività.

AWS riassume questo approccio come “cyber-vault”: isolare le copie, inserirle in WORM e tenere un canale dedicato di recupero. Pur senza dover pagare riscatto, la banca ha stimato un risparmio potenziale di “vari milioni” rispetto al benchmark IBM, perché l’incidente è rimasto confinato ai servizi front-end e non ha toccato gli archivi.

Le lezioni per i responsabili del sevizio di conservazione e per i CISO

Isolare prima di proteggere: la micro-segmentazione abbassa drasticamente la superficie d’attacco, se non si può investire subito in SDN, anche una VLAN dedicata con firewall-rules strette è un primo passo coerente con OAIS 2025.
Immutabilità multilivello: Object Lock tutela il deposito primario mentre Vault Lock mette al sicuro la copia di emergenza: due lucchetti, due chiavi diverse.
Fixity come routine: l’immutabilità non esonera dal ricalcolo periodico dei checksum ed è l’unico modo per dimostrare in sede forense che l’AIP (pacchetto di archiviazione) non è stato corrotto.
DIP (pacchetto di distribuzione) sempre estraibile: WORM blocca la scrittura ma non la lettura: l’esibizione (trasformare AIP in DIP) resta possibile perché l’applicazione legge l’oggetto, lo firma, lo rilascia e lascia la versione originale inviolata.
Prove di ripristino documentate: un playbook Zero-Trust che simuli insider, malware e perdita di chiave è parte integrante della funzione Preservation Watch prevista in OAIS 2025 Annex F.
Così, concetti e tecnologie che a prima vista parlano linguaggi diversi (OAIS, Zero-Trust, SDN, WORM) si saldano in un’unica catena di custodia, comprensibile e verificabile tanto dai Responsabili della Conservazione quanto dai Responsabili del Servizio di Conservazione, quanto ovviamente dai CISO.

OAIS 2025 e Zero-Trust: un percorso concreto per CISO e responsabili della conservazione

La versione 2025 dell’OAIS dunque, offre un linguaggio aggiornato e responsabilità ben definite per la long term preservation, il paradigma Zero-Trust introduce la disciplina della verifica continua, indispensabile in un contesto dominato da insider threat, supply-chain e workload cloud.

Insieme tracciano per CISO e responsabili della conservazione un percorso concreto: preservare l’informazione, provarne l’autenticità e l’integrità e difenderla sapendo che l’avversario potrebbe essere già dentro, il tutto rimando coerenti con quanto prescritto dal Codice dell’amministrazione digitale e dalle Linee guida AgID in materia di documento informatico.