Perché valutare un monitoraggio dell'uptime ospitato nell'UE
· 9 min di lettura
I tuoi dati di monitoraggio contengono informazioni sensibili sulla tua infrastruttura. Dove vengono archiviati influisce su GDPR, sovranità dei dati e rischio operativo.
Cosa contiene un database di monitoraggio
Il monitoraggio dell'uptime contiene dati sensibili a cui raramente si pensa:
- L'elenco di tutti i tuoi URL critici e indirizzi IP.
- I timestamp dei disservizi con i dettagli della risposta del server.
- Le configurazioni del meccanismo di controllo (header personalizzati, keyword attese, dettagli SSL).
- I contatti di escalation - numeri di telefono di reperibilità (on-call), ID chat Telegram, URL di webhook.
- I log delle risposte - dump dei codici di stato, stringhe di errore, indirizzi IP dei server.
Per un attaccante questa è una mappa di ricognizione della tua infrastruttura (recon map). Per te è un elenco di cose che non devi perdere né far trapelare per disattenzione.
Schrems II e i servizi statunitensi
Dal 2020 (sentenza Schrems II della Corte di giustizia dell'UE) il trasferimento di dati personali negli USA non è coperto dall'accordo standard Privacy Shield (invalidato da Schrems II a luglio 2020). Attualmente (06/2026) si applica l'EU-US Data Privacy Framework adottato il 10 luglio 2023, impugnato con un ricorso (causa Latombe) presentato a settembre 2023; il Tribunale dell'UE lo ha respinto il 3 settembre 2025, ma NOYB annuncia un proprio ricorso più ampio - la sostenibilità a lungo termine del DPF resta incerta. Per un'operatività conforme al GDPR ciò significa che l'uso di un servizio di monitoraggio statunitense richiede:
- Un'analisi adeguata del perché trasferisci dati verso un Paese terzo.
- Clausole contrattuali standard (Standard Contractual Clauses, SCCs) con il fornitore statunitense.
- Misure supplementari - tipicamente la cifratura dei dati anche in transito.
- Una DPIA (Data Protection Impact Assessment) se si tratta di dati sensibili.
In pratica molte aziende lo trascurano. La maggior parte delle aziende europee usa UptimeRobot o Pingdom nonostante il loro monitoraggio contenga gli URL dei sistemi di produzione e i contatti degli ingegneri reperibili. Al primo audit GDPR serio viene a galla.
Seconda ragione: lo US CLOUD Act
A prescindere dal GDPR, gli USA hanno in vigore il CLOUD Act del 2018. Esso consente alle autorità statunitensi di richiedere dati alle aziende statunitensi all'insaputa del titolare dei dati e indipendentemente dal fatto che i dati siano archiviati negli USA o in un'altra regione (compresi i datacenter UE di aziende statunitensi).
Questo significa che, dal punto di vista del CLOUD Act, anche la regione UE di Pingdom è equivalente alla regione USA, trattandosi di un'azienda statunitense. La giurisdizione è regolata dalla proprietà dell'azienda, non dalla posizione fisica del server.
Terza ragione: il rischio operativo
I servizi statunitensi fatturano in USD. Con un dollaro forte paghi di più, con uno debole di meno, quindi il cambio ti interessa ogni mese. I fornitori dell'UE fatturano in EUR.
Inoltre: quando hai un problema, il supporto statunitense risponde in inglese e con un fuso orario di 6-9 ore. I fornitori dell'UE possono risponderti nella tua lingua durante l'orario di lavoro.
ePulz.io in breve
ePulz.io è un monitoraggio dell'uptime con 3 nodi worker: primary a Liptovský Hrádok, eu2 a Liptovský Mikuláš, eu1 a Bratislava. Nel concreto, ciò che supporta oggi:
Tipi di monitor (12 tipi): - HTTP / HTTPS (con scomposizione dei tempi - DNS, connect, TLS, TTFB, download) - Certificati SSL (scadenza, emittente, catena) - Porta TCP - Ping ICMP - Record DNS (A, AAAA, MX, TXT, CNAME, NS) - Scadenza del dominio (WHOIS) - Heartbeat (per job cron e processi in background) - Visual regression (differenza tra screenshot) - Monitoraggio browser (vero Chromium headless) - Controlli multi-step / JSONPath (disponibili sui piani Profi e Business) - Monitor LAN (tramite un agente pull nella tua rete)
Notifiche: - E-mail (SMTP) - Telegram (collegamento per utente, più un canale admin) - Webhook con firma HMAC-SHA256 (globale e override per monitor; auto-detect per Slack, Discord, Microsoft Teams)
Altre funzioni: - Pagine di stato pubbliche - Multi-region consensus voting tra 3 nodi worker per i controlli HTTP, TCP e ping (Liptovský Hrádok, Liptovský Mikuláš, Bratislava; soglia predefinita 2 su 3) - Generatore di bundle worker per l'auto-hosting di ulteriori worker regionali - Interfaccia in 14 lingue (sk, cs, en, de, pl, hu, fr, es, it, pt, nl, ru, uk, tr) - strumenti pubblici gratuiti (SSL, headers, DNS, WHOIS, IP geo, DNS propagation, ping, porte e altro)
Prezzi (verificati 06/2026): - Periodo di prova: 7 giorni, 3 monitor, gratis, senza carta di pagamento - Standard: 4 EUR/mese, 15 monitor, intervallo 5 min, storico 30 giorni - Profi: 9 EUR/mese, 25 monitor, intervallo 2 min, storico 90 giorni - Business: 27 EUR/mese, 100 monitor, intervallo 1 min, storico 365 giorni, visual regression
Ospitato a Liptovský Hrádok (primary), Liptovský Mikuláš (eu2) e Bratislava (eu1), i dati non lasciano l'UE.
Quando un servizio statunitense va bene
Siamo onesti - il GDPR ha le sue sfumature. Se monitori:
- Siti statici senza dati personali (blog, marketing).
- Un'API che non ha dati dei clienti né nell'URL né negli header (headers).
- Strumenti interni di un team interamente basato negli USA.
Allora un servizio statunitense va bene - il GDPR non si applica.
Se monitori:
- Sistemi sanitari, finanziari o governativi.
- SaaS B2B con clienti europei.
- E-commerce con clientela europea.
- Qualsiasi applicazione in cui il monitoraggio contenga endpoint con dati personali (o anche ID che possono essere associati a dati personali).
In questi casi un servizio ospitato nell'UE ha senso pratico.
Migrazione
Se decidi di passare da UptimeRobot o Pingdom a un servizio dell'UE, la procedura è lineare:
- Esporta l'elenco dei monitor (URL, intervalli, codici di stato attesi).
- Importali nel nuovo servizio (la maggior parte supporta il CSV).
- Configura le notifiche verso i nuovi canali.
- Esegui in parallelo per 1-2 settimane e confronta i risultati.
- Una volta stabile, disattiva il vecchio fornitore.
Per 20-30 monitor sono 2-4 ore di lavoro.
Correlati
Prova ePulz.io gratis - 7 giorni senza carta di credito.
Crea account