Torna al blog

Perché valutare un monitoraggio dell'uptime ospitato nell'UE

· 9 min di lettura

I tuoi dati di monitoraggio contengono informazioni sensibili sulla tua infrastruttura. Dove vengono archiviati influisce su GDPR, sovranità dei dati e rischio operativo.

Perché valutare un monitoraggio dell'uptime ospitato nell'UE

Cosa contiene un database di monitoraggio

Il monitoraggio dell'uptime contiene dati sensibili a cui raramente si pensa:

  • L'elenco di tutti i tuoi URL critici e indirizzi IP.
  • I timestamp dei disservizi con i dettagli della risposta del server.
  • Le configurazioni del meccanismo di controllo (header personalizzati, keyword attese, dettagli SSL).
  • I contatti di escalation - numeri di telefono di reperibilità (on-call), ID chat Telegram, URL di webhook.
  • I log delle risposte - dump dei codici di stato, stringhe di errore, indirizzi IP dei server.

Per un attaccante questa è una mappa di ricognizione della tua infrastruttura (recon map). Per te è un elenco di cose che non devi perdere né far trapelare per disattenzione.

Schrems II e i servizi statunitensi

Dal 2020 (sentenza Schrems II della Corte di giustizia dell'UE) il trasferimento di dati personali negli USA non è coperto dall'accordo standard Privacy Shield (invalidato da Schrems II a luglio 2020). Attualmente (06/2026) si applica l'EU-US Data Privacy Framework adottato il 10 luglio 2023, impugnato con un ricorso (causa Latombe) presentato a settembre 2023; il Tribunale dell'UE lo ha respinto il 3 settembre 2025, ma NOYB annuncia un proprio ricorso più ampio - la sostenibilità a lungo termine del DPF resta incerta. Per un'operatività conforme al GDPR ciò significa che l'uso di un servizio di monitoraggio statunitense richiede:

  1. Un'analisi adeguata del perché trasferisci dati verso un Paese terzo.
  2. Clausole contrattuali standard (Standard Contractual Clauses, SCCs) con il fornitore statunitense.
  3. Misure supplementari - tipicamente la cifratura dei dati anche in transito.
  4. Una DPIA (Data Protection Impact Assessment) se si tratta di dati sensibili.

In pratica molte aziende lo trascurano. La maggior parte delle aziende europee usa UptimeRobot o Pingdom nonostante il loro monitoraggio contenga gli URL dei sistemi di produzione e i contatti degli ingegneri reperibili. Al primo audit GDPR serio viene a galla.

Seconda ragione: lo US CLOUD Act

A prescindere dal GDPR, gli USA hanno in vigore il CLOUD Act del 2018. Esso consente alle autorità statunitensi di richiedere dati alle aziende statunitensi all'insaputa del titolare dei dati e indipendentemente dal fatto che i dati siano archiviati negli USA o in un'altra regione (compresi i datacenter UE di aziende statunitensi).

Questo significa che, dal punto di vista del CLOUD Act, anche la regione UE di Pingdom è equivalente alla regione USA, trattandosi di un'azienda statunitense. La giurisdizione è regolata dalla proprietà dell'azienda, non dalla posizione fisica del server.

Terza ragione: il rischio operativo

I servizi statunitensi fatturano in USD. Con un dollaro forte paghi di più, con uno debole di meno, quindi il cambio ti interessa ogni mese. I fornitori dell'UE fatturano in EUR.

Inoltre: quando hai un problema, il supporto statunitense risponde in inglese e con un fuso orario di 6-9 ore. I fornitori dell'UE possono risponderti nella tua lingua durante l'orario di lavoro.

ePulz.io in breve

ePulz.io è un monitoraggio dell'uptime con 3 nodi worker: primary a Liptovský Hrádok, eu2 a Liptovský Mikuláš, eu1 a Bratislava. Nel concreto, ciò che supporta oggi:

Tipi di monitor (12 tipi): - HTTP / HTTPS (con scomposizione dei tempi - DNS, connect, TLS, TTFB, download) - Certificati SSL (scadenza, emittente, catena) - Porta TCP - Ping ICMP - Record DNS (A, AAAA, MX, TXT, CNAME, NS) - Scadenza del dominio (WHOIS) - Heartbeat (per job cron e processi in background) - Visual regression (differenza tra screenshot) - Monitoraggio browser (vero Chromium headless) - Controlli multi-step / JSONPath (disponibili sui piani Profi e Business) - Monitor LAN (tramite un agente pull nella tua rete)

Notifiche: - E-mail (SMTP) - Telegram (collegamento per utente, più un canale admin) - Webhook con firma HMAC-SHA256 (globale e override per monitor; auto-detect per Slack, Discord, Microsoft Teams)

Altre funzioni: - Pagine di stato pubbliche - Multi-region consensus voting tra 3 nodi worker per i controlli HTTP, TCP e ping (Liptovský Hrádok, Liptovský Mikuláš, Bratislava; soglia predefinita 2 su 3) - Generatore di bundle worker per l'auto-hosting di ulteriori worker regionali - Interfaccia in 14 lingue (sk, cs, en, de, pl, hu, fr, es, it, pt, nl, ru, uk, tr) - strumenti pubblici gratuiti (SSL, headers, DNS, WHOIS, IP geo, DNS propagation, ping, porte e altro)

Prezzi (verificati 06/2026): - Periodo di prova: 7 giorni, 3 monitor, gratis, senza carta di pagamento - Standard: 4 EUR/mese, 15 monitor, intervallo 5 min, storico 30 giorni - Profi: 9 EUR/mese, 25 monitor, intervallo 2 min, storico 90 giorni - Business: 27 EUR/mese, 100 monitor, intervallo 1 min, storico 365 giorni, visual regression

Ospitato a Liptovský Hrádok (primary), Liptovský Mikuláš (eu2) e Bratislava (eu1), i dati non lasciano l'UE.

Quando un servizio statunitense va bene

Siamo onesti - il GDPR ha le sue sfumature. Se monitori:

  • Siti statici senza dati personali (blog, marketing).
  • Un'API che non ha dati dei clienti né nell'URL né negli header (headers).
  • Strumenti interni di un team interamente basato negli USA.

Allora un servizio statunitense va bene - il GDPR non si applica.

Se monitori:

  • Sistemi sanitari, finanziari o governativi.
  • SaaS B2B con clienti europei.
  • E-commerce con clientela europea.
  • Qualsiasi applicazione in cui il monitoraggio contenga endpoint con dati personali (o anche ID che possono essere associati a dati personali).

In questi casi un servizio ospitato nell'UE ha senso pratico.

Migrazione

Se decidi di passare da UptimeRobot o Pingdom a un servizio dell'UE, la procedura è lineare:

  1. Esporta l'elenco dei monitor (URL, intervalli, codici di stato attesi).
  2. Importali nel nuovo servizio (la maggior parte supporta il CSV).
  3. Configura le notifiche verso i nuovi canali.
  4. Esegui in parallelo per 1-2 settimane e confronta i risultati.
  5. Una volta stabile, disattiva il vecchio fornitore.

Per 20-30 monitor sono 2-4 ore di lavoro.

Correlati

Condividi: Link copiato

Prova ePulz.io gratis - 7 giorni senza carta di credito.

Crea account