Logo Patrick Pasquillo - Digital Maker e consulente software in Ticino

mail@patrickpasquillo.net

+41 76 320 99 34

Come scegliere un hosting svizzero conforme alla nLPD: guida pratica per PMI ticinesi

Come scegliere un hosting svizzero conforme alla nLPD: guida pratica per PMI ticinesi

  • Patrick Pasquillo
  • 30 Maggio 2026
  • 4:15 pm
  • 0 commenti
9 minuti di lettura

"Dove vivono i dati del tuo sito web? Se non lo sai con assoluta certezza non stai rispettando la nLPD."

Che cos'è un hosting conforme alla nLPD e perché non tutti gli hosting sono uguali

L'hosting web è il servizio che ospita i file del tuo sito, testi, immagini, database, moduli di contatto, su un server connesso a internet. È una infrastruttura tecnica a cui la maggior parte dei titolari di PMI ticinesi non pensa mai, finché non compare una multa, una richiesta di un cliente sui suoi dati o un incidente di sicurezza.

La nuova Legge federale sulla Protezione dei Dati (nLPD), entrata in vigore il 1° settembre 2023, impone a qualsiasi azienda svizzera che tratta dati personali di sapere dove quei dati vengono conservati, da chi vengono gestiti e con quali garanzie di sicurezza. Il sito web di una PMI ticinese raccoglie quasi sempre dati personali: i form di contatto, i log degli accessi anche se non lo sai o non li vedi, le statistiche dei visitatori, i dati degli iscritti alla newsletter. Ogni dato personale transitato o conservato sul tuo hosting e soggetto alla nLPD.

Un hosting conforme alla nLPD non è semplicemente uno che ha i server in Svizzera, anche se questo è il criterio più semplice e più forte da verificare. È uno che offre un contratto di responsabilità del trattamento (DPA, Data Processing Agreement) chiaro, che applica misure di sicurezza tecniche documentabili, che garantisce backup regolari con crittografia, e che ti permette di rispettare i diritti degli interessati, come la cancellazione dei dati su richiesta, in modo operativo e non solo formale.

"Il fatto che il tuo sito sia su un server americano non è un dettaglio tecnico. E una scelta che trasferisce i dati dei tuoi clienti in una giurisdizione con leggi diverse da quelle svizzere, e questo ha conseguenze legali concrete. Anche per un plugin WordPress che tratta dati."

Il problema reale: la maggior parte delle PMI ticinesi usa hosting stranieri senza saperlo

Quando una PMI ticinese fa costruire il proprio sito web, quasi mai sceglie direttamente il provider di hosting. Lo sceglie il grafico, l'agenzia, il nipote appassionato di informatica. E la scelta cade quasi sempre su provider internazionali come GoDaddy, Bluehost, Hostinger o SiteGround, non per malafede, ma perché sono i più noti, i più economici e i più facili da gestire per chi lavora con molti clienti contemporaneamente. Siamo condizionati dai software e dalle tecnologie americane.

Il problema è che questi provider hanno i server principalmente negli Stati Uniti o in paesi europei fuori dall'Europa. I dati dei tuoi visitatori, dei tuoi clienti che compilano il form di contatto, degli iscritti alla tua newsletter transitano e vengono conservati in queste infrastrutture. La nLPD stabilisce requisiti precisi per il trasferimento di dati personali verso paesi terzi. Se il paese non garantisce un livello di protezione adeguato, e per esempio gli Stati Uniti, in assenza di accordi specifici, non lo garantiscono automaticamente, il trasferimento richiede misure supplementari che nella pratica quasi nessuna PMI ha implementato.

La conseguenza non è solo teorica. Se un cliente ti chiede formalmente "dove vengono conservati i miei dati" e tu non sai rispondere con precisione, hai già un problema. Se si verifica un incidente e l'autorità di controllo verifica la tua posizione, l'assenza di un contratto DPA con il tuo provider di hosting è una lacuna documentabile che pesa sulla valutazione della tua responsabilità.

L'errore più comune: pensare che il problema non riguardi chi ha "solo un sito web"

L'obiezione che si sente più spesso è: "Ma il mio sito è solo una vetrina, non raccoglie dati personali." Questo ragionamento ha un difetto preciso, perché sottovaluta la quantità di dati personali che qualsiasi sito web moderno raccoglie in modo automatico, anche senza form espliciti.

I log del server registrano l'indirizzo IP di ogni visitatore, e l'indirizzo IP è un dato personale ai sensi della nLPD. Un sistema di analisi del traffico raccoglie comportamenti di navigazione associabili a un utente identificabile. Un plugin di chat o un form di contatto conserva nomi, indirizzi e-mail, messaggi dove non puoi controllare il contenuto di chi ti scrive. Un sistema di prenotazione online conserva dati molto più sensibili. La soglia per essere soggetti alla nLPD è bassa e si applica alla stragrande maggioranza dei siti web aziendali.

Il secondo errore, simmetrico al primo, è scegliere l'hosting più economico senza confrontare le garanzie contrattuali. Dieci franchi al mese di risparmio su un hosting non conforme potrebbero costare molto di più in termini di adeguamento successivo, consulenza legale o, nello scenario peggiore. sanzioni e danni reputazionali.

La soluzione: tre criteri concreti per scegliere l'hosting giusto

La selezione di un hosting conforme alla nLPD per una PMI ticinese si basa su tre criteri che è possibile verificare in modo autonomo, senza essere tecnici.

Primo criterio: Localizzazione dei server in Svizzera o in un paese con protezione adeguata

Il criterio più semplice e il più forte: scegli un provider che abbia i datacenter in Svizzera. Questo elimina immediatamente le complessità legate al trasferimento internazionale di dati e garantisce che la giurisdizione applicabile sia quella svizzera. In alternativa, i paesi dell'Unione Europea con il GDPR pienamente in vigore offrono un livello di protezione che la Svizzera riconosce come adeguato, ma la Svizzera rimane la scelta più robusta e più facile da documentare.

Infomaniak è il provider di riferimento che consiglio alle PMI ticinesi. Un'azienda ginevrina fondata nel 1994, con datacenter certificati in Svizzera, politica esplicita di non vendita dei dati a terzi, offerta DPA disponibile, supporto in italiano e prezzi competitivi rispetto ai provider internazionali. Non è l'unica opzione sul mercato svizzero, ma è quella con il miglior equilibrio tra conformità, prestazioni, supporto in lingua italiana e rapporto qualità-prezzo per il segmento PMI ticinese.

Secondo criterio: Disponibilità di un contratto DPA firmabile

Il DPA (Data Processing Agreement), in italiano Accordo sul Trattamento dei Dati, e il contratto che regola il rapporto tra te, il titolare del trattamento, e il tuo provider di hosting, ossia il responsabile del trattamento. Stabilisce cosa può fare il provider con i tuoi dati, quali misure di sicurezza applica, come si comporta in caso di violazione dei dati, per quanto tempo li conserva e come li cancella.

Senza questo contratto, il tuo provider di hosting potrebbe tecnicamente fare qualsiasi cosa con i dati che ospita sui suoi server, almeno dal punto di vista della tua posizione contrattuale. Con il contratto, hai una base documentale per dimostrare di aver fatto le verifiche che la nLPD ti impone. Verifica sempre che il DPA sia disponibile in italiano o in una lingua che puoi leggere, che sia firmato (o accettato digitalmente) e che sia archiviato tra i tuoi documenti aziendali.

Terzo criterio: Misure tecniche di sicurezza documentabili

Il terzo criterio riguarda le garanzie tecniche: backup automatici con frequenza giornaliera, crittografia dei dati in transito (SSL/TLS obbligatorio) e possibilmente a riposo, autenticazione a due fattori per l'accesso al pannello di controllo, procedure documentate per la gestione degli incidenti di sicurezza. Queste informazioni sono quasi sempre disponibili nella documentazione pubblica del provider. Se non le trovi, considera già questo un segnale di attenzione.

Procedura pratica: come verificare e migrare in quattro passi

Se non sei certo di dove si trovano i dati del tuo sito o se il tuo provider attuale non soddisfa i criteri descritti, ecco la sequenza operativa per fare chiarezza e, se necessario, migrare a un provider conforme.

  1. Scopri dove si trovano fisicamente i server del tuo attuale provider.

Cerca nel sito del tuo provider la sezione 'Data Centers', 'Infrastruttura' o 'Privacy'. Se non trovi l'informazione in modo esplicito, contatta il supporto e chiedi per iscritto: "Dove sono localizzati fisicamente i server che ospitano il mio sito e il mio database?" Conserva la risposta. Se i server sono negli Stati Uniti o in un paese non riconosciuto dalla Svizzera come adeguato, hai già un elemento da valutare per la migrazione.

  • Verifica se esiste un DPA disponibile e firmalo.

Cerca nel sito del provider la sezione 'Legal', 'GDPR', 'Privacy' o 'Data Processing'. Molti provider europei hanno già un DPA precompilato che si accetta cliccando su un pulsante nel pannello di controllo. Se il DPA non esiste, il provider non è adatto a ospitare dati personali in un contesto professionale svizzero. Se esiste, scarica il documento firmato e archivialo nella tua documentazione sulla protezione dei dati.

  • Valuta Infomaniak come alternativa se il tuo provider attuale non soddisfa i criteri.

Infomaniak offre piani di hosting condiviso a partire da circa 6-8 franchi al mese per siti WordPress, con server in Svizzera, DPA disponibile in italiano, backup giornalieri inclusi e supporto tecnico in italiano. La migrazione di un sito WordPress da un provider a un altro richiede in genere 2-4 ore di lavoro tecnico, anche gestibile autonomamente con una guida passo per passo, oppure sempre in una sessione di assistenza.

  • Aggiorna la Privacy Policy del tuo sito con le informazioni corrette sull'hosting.

Una volta completata la verifica o la migrazione, aggiorna la sezione della tua Privacy Policy che descrive dove vengono conservati i dati degli utenti. Indica il nome del provider, la localizzazione dei server e il fatto che è stato stipulato un DPA. Questa trasparenza non è solo un obbligo normativo. È un segnale di professionalità verso i tuoi visitatori.

Mini-riassunto

Questo articolo spiega come scegliere un hosting web conforme alla nLPD svizzera per le PMI ticinesi. I punti chiave sono:

  • La nLPD impone a qualsiasi azienda svizzera di sapere dove vengono conservati e da dove passano i dati personali raccolti dal proprio sito web. Inclusi log del server, form di contatto e statistiche dei visitatori.
  • Un hosting conforme richiede tre condizioni: server localizzati in Svizzera o in un paese con protezione adeguata, contratto DPA disponibile e firmato, misure tecniche di sicurezza documentabili (backup, crittografia, autenticazione a due fattori).
  • Infomaniak è il provider che raccomando per le PMI ticinesi: azienda svizzera con datacenter in Svizzera, DPA in italiano, supporto in lingua italiana, prezzi competitivi e infrastruttura certificata.
  • La verifica dell'hosting attuale richiede meno di un'ora: basta controllare la localizzazione dei server, la disponibilità del DPA e le misure di sicurezza nella documentazione del provider.
  • L'aggiornamento della Privacy Policy del sito con le informazioni corrette sull'hosting è sia un obbligo normativo che un differenziatore di fiducia verso i clienti.

Continua ad approfondire

Hai bisogno di verificare la conformità del tuo hosting attuale?

Se non sei certo della posizione del tuo sito rispetto alla nLPD, o se vuoi migrare a Infomaniak con supporto tecnico e consulenza sulla documentazione necessaria, contattami su mail@patrickpasquillo.net. Analizzo la situazione attuale e definiamo il percorso più rapido per metterla in ordine.

"Resta agile. Continua a eccellere. Guida il cambiamento." Patrick Pasquillo, Digital Collaboration Specialist

Chi sono

Sono Patrick Pasquillo, Digital Collaboration Specialist e consulente tecnologico strategico per micro-imprese, professionisti, associazioni e piccole realtà aziendali in Svizzera e in Italia. Aiuto i business locali a progettare processi di lavoro più agili e sostenibili attraverso l’uso efficace di strumenti software affidabili, conformi alla LPD e alle normative europee.

Lavoro ogni giorno per la contabilità digitale (con soluzioni agili come Banana Contabilità+), CRM utili a livello strategico aziendale, automazioni operative, gestione, sicurezza, backup, manutenzione e aggiornamento di siti WordPress, sicurezza digitale pratica per persone e aziende, e ottimizzazione dei flussi di collaborazione aziendale interna.

La mia filosofia professionale è semplice: rendere la tecnologia comprensibile, utile e realmente applicabile, affinché ogni organizzazione, anche la più piccola, possa rimanere agile, continuare a eccellere e guidare il proprio cambiamento.

Ultime news

×

Caricamento...