Come creare un sistema di backup automatico criptato su chiavetta USB

Come creare un sistema di backup automatico criptato su chiavetta USB

    Proteggere i propri dati da furti, perdita o accessi non autorizzati è una priorità per chiunque lavori al computer, in ambito professionale o personale. Creare copie di sicurezza su una chiavetta USB è un buon primo passo, ma se il contenuto non è criptato, basta che la chiavetta finisca nelle mani sbagliate per rendere il backup un punto debole. Per questo motivo, in questa guida realizzeremo un sistema completo e automatizzato che crea backup crittografati e sincronizzati su un dispositivo rimovibile, utilizzando due strumenti potenti e gratuiti: VeraCrypt, per la cifratura, e Robocopy, per la copia automatica e intelligente dei file.

    Preparazione del sistema

    Per iniziare è necessario disporre di una chiavetta USB abbastanza capiente da contenere il contenitore criptato, ad esempio da 16 GB o più, in base alla quantità di dati che si intende salvare. La chiavetta deve essere formattata preferibilmente in exFAT (per compatibilità con file >4 GB) o NTFS (per maggiore affidabilità e supporto ai permessi). Serve poi VeraCrypt, che andrà installato sul PC, e Robocopy, già incluso in tutte le versioni moderne di Windows (dalla 7 in poi), e quindi subito disponibile da prompt dei comandi o da script batch. Infine, si consiglia di usare un editor di testo avanzato come Notepad++ per gestire correttamente i file batch che andremo a scrivere.

    Creazione del contenitore criptato

    Apri VeraCrypt e clicca su “Crea un volume”. Si aprirà una procedura guidata. Seleziona “Crea un file contenitore criptato”, ovvero un file che fungerà da disco virtuale cifrato e che potrai montare solo conoscendo la password. Scegli dove salvare questo file (es. F:\BackupCriptato.hc), facendo attenzione a non inserirlo nella stessa cartella da cui copierai i file, per evitare loop di backup. Puoi usare come algoritmi AES per un buon bilanciamento tra sicurezza e velocità, oppure combinazioni più sicure come AES-Twofish-Serpent se vuoi massima protezione. Imposta una password lunga e complessa, meglio ancora se abbinata a un file di keyfile (opzionale).

    Definisci la dimensione del contenitore: è consigliabile usarne uno che occupi solo parte dello spazio della chiavetta, così potrai lasciarci anche altri file liberi o backup separati. Per il file system interno del volume, seleziona NTFS se intendi salvare file di grandi dimensioni, altrimenti exFAT per maggiore compatibilità. Avvia la formattazione e attendi la fine del processo: verrà creato un file .hc che potrai montare come un disco indipendente.

    Montaggio automatico del volume

    Ora che hai un contenitore criptato, puoi montarlo ogni volta manualmente da VeraCrypt, ma per creare un sistema di backup automatizzato serve fare tutto da riga di comando. VeraCrypt supporta parametri CLI: possiamo montare un volume indicando il file, la lettera da assegnare (es. Z:), la password e altre opzioni. L’esempio seguente monta il volume silenziosamente:

    "C:\Program Files\VeraCrypt\VeraCrypt.exe" /v "F:\BackupCriptato.hc" /l Z /p TuaPassword /q /s /m rm /a
    

    In questo comando:

    • /v indica il file del volume
    • /l assegna la lettera del disco (es. Z)
    • /p fornisce la password (sconsigliato in chiaro, vedi sotto)
    • /q disattiva i messaggi di conferma
    • /s forza l’avvio in background
    • /m rm forza il montaggio in sola lettura e rimovibile
    • /a monta automaticamente

    Per aumentare la sicurezza, puoi evitare di inserire la password nel file batch e usare un prompt interattivo, oppure proteggere lo script con un software di cifratura locale come AxCrypt.

    Configurazione del backup con Robocopy

    Robocopy è uno strumento avanzato che consente di sincronizzare due cartelle, ignorando i file già copiati, gestendo errori, esclusioni e conservando la struttura delle directory. Supponiamo di voler salvare la cartella Documenti nella chiavetta criptata. La sintassi consigliata è:

    robocopy "C:\Utenti\TuoNome\Documenti" "Z:\BackupDocumenti" /MIR /R:1 /W:1 /XD "Temp" /XF *.tmp
    

    In questo comando:

    • "C:\...\" è la cartella sorgente
    • "Z:\..." è la destinazione nel volume montato
    • /MIR crea un mirror (sincronizzazione totale, cancella i file eliminati)
    • /R:1 tenta una sola volta in caso di errore
    • /W:1 attende un solo secondo tra i tentativi
    • /XD esclude sottocartelle (es. “Temp”)
    • /XF esclude file (es. temporanei)

    Puoi personalizzare completamente il filtro in base alle tue esigenze, ad esempio escludere cartelle di lavoro o file pesanti non rilevanti per il backup.

    Smontaggio sicuro del volume

    Una volta completata la copia, è importante smontare il volume criptato per evitare che resti accessibile nel sistema. Puoi farlo con un comando semplice:

    "C:\Program Files\VeraCrypt\VeraCrypt.exe" /d Z /q /f
    

    Il parametro /d Z indica la lettera da smontare, /q e /f eseguono l’operazione senza conferme e forzano la chiusura dei processi se necessario.

    Creazione dello script batch completo

    Apri Notepad++ e incolla il seguente esempio completo:

    @echo off
    setlocal
    echo [*] Avvio backup criptato...
    
    start /wait "" "C:\Program Files\VeraCrypt\VeraCrypt.exe" /v "F:\BackupCriptato.hc" /l Z /p TuaPassword /q /s /m rm /a
    
    timeout /t 5 >nul
    
    robocopy "C:\Utenti\TuoNome\Documenti" "Z:\BackupDocumenti" /MIR /R:1 /W:1 /XD "Temp" /XF *.tmp
    
    "C:\Program Files\VeraCrypt\VeraCrypt.exe" /d Z /q /f
    
    echo [✓] Backup completato. Il volume è stato smontato.
    pause
    

    Salva questo file come BackupCriptato.bat e posizionalo sul desktop o in una cartella sicura. Puoi anche creare un collegamento con un’icona personalizzata e impostarlo per l’avvio con privilegi amministrativi.

    Automazione all’inserimento della chiavetta

    Puoi rendere il processo completamente automatico collegando lo script all’evento di inserimento del dispositivo. Ciò si può fare tramite Utilità di pianificazione di Windows:

    • Crea una nuova attività
    • Imposta come trigger l’evento ID 20001 o Arrivo del dispositivo USB
    • Come azione, avvia BackupCriptato.bat
    • Imposta l’attività per essere eseguita anche con lo schermo bloccato

    Per maggiore precisione puoi usare strumenti come USBDeview per identificare il nome esatto della chiavetta da collegare al trigger, evitando che si attivi con dispositivi diversi.

    Questo sistema consente di avere backup completamente invisibili all’esterno, automatizzati, protetti con crittografia forte e sincronizzati in tempo reale. È particolarmente utile per chi trasporta dati sensibili (avvocati, consulenti, giornalisti, tecnici IT) e vuole un livello di protezione avanzato ma flessibile. Tutti i file vengono salvati solo dentro un volume criptato che, se non montato, è semplicemente un file .hc inutilizzabile e illeggibile.

    Per aumentare ulteriormente la sicurezza si consiglia:

    • di abilitare l’opzione “PIM” in VeraCrypt se vuoi resistere agli attacchi brute-force
    • di usare un keyfile salvato separatamente dalla chiavetta
    • di conservare un backup offline del file .hc aggiornato periodicamente

    Questo tutorial rappresenta una soluzione professionale per proteggere i tuoi dati, sfruttando solo software gratuito e nativo di Windows.

    x0xShinobix0x

    x0xShinobix0x