Le tue foto sono di Google. Le tue password sono di Apple. La tua musica è di Spotify — finché paghi. Non è paranoia, è il modello di business: ogni file, ogni ricordo, ogni credenziale che affidi a un servizio cloud centralizzato vive su macchine che non controlli, governate da termini di servizio che cambiano senza preavviso e da aziende che rispondono agli azionisti, non a te. Il mercato del self-hosting, secondo WebProNews, raggiungerà gli 85,2 miliardi di dollari entro il 2034 — e non è un caso. Non è più un vezzo da smanettoni con il rack nel seminterrato: è una risposta concreta, pratica, alla domanda che dovremmo farci tutti. Chi possiede i tuoi dati possiede un pezzo della tua vita, e tu stai bene con questo?
La buona notizia è che nel 2026 bastano un mini PC da 150 euro, un weekend libero e una connessione decente per costruirti un’infrastruttura personale che sostituisce Google Drive, Google Foto, il tuo password manager commerciale e persino lo streaming musicale. Nextcloud per i file e il calendario, Immich per le foto, Vaultwarden per le password, Navidrome per la musica: quattro servizi open source, maturi, con app mobile funzionanti, che puoi installare senza scrivere una riga di codice — o quasi. Questa guida al self-hosting per principianti è scritta per chi non ha mai toccato un terminale Linux e vuole smettere di regalare dati a chi li rivende. Niente teoria astratta: hardware concreto, comandi reali, risultati nel giro di due giorni.
L’hardware che ti serve (e costa meno di quanto pensi)
Il primo muro psicologico del self-hosting è l’hardware, e la prima buona notizia è che quel muro non esiste più. Un mini PC con processore Intel N95, 16 GB di RAM e un SSD da 256 GB si compra a meno di 190 euro — un KAMRUI Essenx E2 o qualunque clone equivalente. XDA Developers ha pubblicato un test in cui un mini PC da 150 dollari reggeva dodici container Docker senza fiatare: Nextcloud, Immich, Vaultwarden, un reverse proxy, un database PostgreSQL e altri servizi giravano tutti in contemporanea con margine di RAM da vendere. Detto senza mezzi termini: ti serve meno potenza di quella che hai nel portatile che usi per guardare Netflix. I consumi elettrici sono ridicoli — un Intel N95 sotto carico tira tra i 10 e i 15 watt, meno di una lampadina LED — il che significa che il costo in bolletta è di pochi euro al mese, spiccioli rispetto ai 100-200 euro mensili che spenderesti in abbonamenti SaaS equivalenti.
E il Raspberry Pi? Il Pi 5 resta un’opzione valida se ne hai già uno in un cassetto, ma comprarlo da zero nel 2026 è difficile da giustificare. Il kit con 8 GB di RAM, alimentatore, case e scheda microSD costa circa 205 euro — più di un mini PC che offre il doppio della RAM, un processore x86 con compatibilità universale per le immagini Docker e un SSD NVMe al posto della microSD. Facciamo un passo indietro su questo punto, perché è importante: le schede microSD sono progettate per fotocamere, non per i cicli di scrittura continui di un database. I guasti silenziosi delle microSD sono il nemico numero uno di chi fa self-hosting su Raspberry Pi, e quando il filesystem si corrompe non arriva nessun avviso — ti ritrovi con un servizio che non parte e dati potenzialmente persi. Se hai già un Pi 5, usalo per qualcosa di leggero — un AdGuard Home, un Pi-hole, un sensore di rete. Per far girare quattro servizi con database e machine learning integrato, il mini PC è la scelta razionale.
Il software che tiene insieme tutto si chiama Docker, e funziona come un sistema di scatole isolate: ogni servizio gira nel suo container con le sue dipendenze, senza conflitti con gli altri. Non devi configurare Apache, non devi compilare nulla, non devi pregare che un aggiornamento del sistema non rompa tutto il castello. Installi Docker su una qualsiasi distribuzione Linux — Debian è la scelta più conservativa e stabile — e poi descrivi i tuoi servizi in un file docker-compose.yml: un documento di testo dove elenchi i container, le porte, i volumi per i dati persistenti. Due comandi nel terminale (docker compose up -d) e il servizio parte in background. Se l’idea del terminale ti terrorizza, esistono strumenti come CasaOS e Coolify che mettono un’interfaccia web sopra Docker: clicchi, scegli l’app, la installi. Funzionano, anche se personalmente preferisco sapere cosa succede sotto il cofano — questione di filosofia, non di necessità tecnica.
Un ultimo pezzo del puzzle prima di passare ai servizi: il reverse proxy e l’accesso da fuori casa. Quando hai quattro servizi che girano sulla stessa macchina, ognuno su una porta diversa, un reverse proxy come Caddy o Traefik si occupa di smistare il traffico e — dettaglio non trascurabile — di generare automaticamente i certificati HTTPS con Let’s Encrypt. Caddy in particolare è quasi magico nella sua semplicità: tre righe di configurazione e hai HTTPS funzionante. Per raggiungere i tuoi servizi da fuori casa ti serve un dominio (anche uno gratuito da DuckDNS va benissimo per iniziare) e aprire le porte 80 e 443 sul router. Se il tuo provider ti assegna un IP dinamico — la norma in Italia — un servizio di DNS dinamico aggiorna l’indirizzo in automatico. Non è complicato, ma è il passaggio che richiede più pazienza la prima volta.
Quattro servizi, un weekend, zero compromessi
Nextcloud — il tuo cloud, le tue regole
Nextcloud è il centro di gravità di qualsiasi setup self-hosted, e non per caso: sostituisce Google Drive, Google Calendar, Google Contacts e — con le app giuste — anche Google Docs, tutto in un’unica piattaforma con oltre 500.000 server attivi nel mondo. L’ultima versione, Hub 26 Winter rilasciata a febbraio 2026, ha introdotto il motore ADA (Accelerated Direct Access), una riscrittura profonda del sistema di accesso ai file che combina PHP, Rust e Go per prestazioni che non hanno più nulla da invidiare ai servizi commerciali. La riduzione del consumo di risorse per la generazione delle anteprime fotografiche — parliamo di un calo tra il 40 e il 90% — significa che il tuo mini PC da 190 euro non suderà nemmeno con migliaia di file. Il setup con Docker è diretto: un file docker-compose.yml con Nextcloud, un database MariaDB o PostgreSQL, e Redis per la cache. Al primo avvio ti trovi davanti un’interfaccia web pulita dove creare l’account amministratore, e da quel momento hai il tuo cloud personale. L’app mobile per Android e iOS sincronizza file, contatti e calendario esattamente come faresti con Google — con la differenza che i dati restano fisicamente sulla tua macchina, nella tua casa, sotto il tuo controllo. La crittografia end-to-end è ora configurabile direttamente dal browser senza bisogno del client desktop, e la federazione tra server Nextcloud permette di condividere file, calendari e bacheche Deck con altre persone che fanno self-hosting. Non sei solo: sei parte di una rete decentralizzata che nessuna azienda può spegnere.
Immich — le tue foto non sono di Google
Google Foto è probabilmente il servizio più difficile da abbandonare: funziona bene, ha una ricerca intelligente, organizza tutto in automatico. Il punto è che ogni foto che carichi alimenta i modelli di machine learning di Google, e il giorno in cui decideranno di cambiare i termini o aumentare i prezzi — di nuovo — non avrai alcun potere contrattuale. Immich è la risposta open source che nel 2026 ha raggiunto una maturità impressionante. La versione 2.6, rilasciata il 21 marzo con oltre 350 commit in sei settimane, ha portato una vista mappa con mini-timeline laterale per navigare le foto per località, il supporto HTTP/2 e HTTP/3 nelle app mobile per trasferimenti più veloci, e un sistema di ricerca incrementale che carica i risultati senza ricostruire l’intera griglia. Il cuore di Immich è il machine learning integrato: riconoscimento facciale, ricerca semantica — cerchi “tramonto sulla montagna” e trova le foto giuste — raggruppamento automatico per volti e luoghi. Tutto questo funziona senza GPU dedicata: sul tuo mini PC con Intel N95 il riconoscimento è più lento ma perfettamente funzionante, e nessuno dei tuoi ricordi finisce sui server di qualcun altro. L’installazione è Docker Compose con quattro container: il server principale, PostgreSQL, Redis e il modulo di machine learning. L’app mobile fa backup automatico delle foto appena scattate, esattamente come Google Foto, e l’interfaccia web è così curata che più di una persona l’ha scambiata per un prodotto commerciale. Un progetto che dimostra, se ce ne fosse ancora bisogno, che il software libero non significa rinunciare all’esperienza utente.
Vaultwarden — le password sono tue, non di LastPass
Le password sono la chiave della tua vita digitale, e affidarle a un servizio centralizzato è una scommessa che la storia ha dimostrato perdente più volte — basta ricordare le violazioni di LastPass che hanno esposto i vault crittografati di milioni di utenti. Vaultwarden è un’implementazione alternativa del server Bitwarden scritta in Rust, talmente leggera da occupare circa 50 MB di RAM. Cinquanta megabyte. Il tuo browser ne usa dieci volte tanto per tenere aperta una scheda di Gmail. La versione 1.35, rilasciata tra fine 2025 e inizio 2026, ha introdotto il supporto OpenID Connect per il single sign-on e le build immutabili con attestazione crittografica, oltre alla piena compatibilità con tutti i client ufficiali Bitwarden — l’app mobile, l’estensione browser, il client desktop. In pratica installi Vaultwarden sul tuo server e usi l’app Bitwarden come se nulla fosse cambiato, solo che le tue password non escono mai dalla tua rete domestica. Un avvertimento doveroso: a febbraio 2026 è stata scoperta e corretta una vulnerabilità critica (CVE-2026-26012) che permetteva ai membri di un’organizzazione di accedere a credenziali non autorizzate. Il team ha rilasciato la patch in pochi giorni con la versione 1.35.3 — un tempo di reazione che molte aziende commerciali si sognano. Il bello e il peso del self-hosting stanno proprio qui: sei responsabile degli aggiornamenti, ma almeno sai esattamente cosa gira sulla tua macchina e puoi verificare ogni singola riga del codice sorgente.
Navidrome — la musica torna ad essere tua
Spotify ti concede l’accesso alla musica finché paghi l’abbonamento — e finché i contratti con le etichette reggono. Brani che spariscono da un giorno all’altro, cataloghi che cambiano in base alla geografia, algoritmi che decidono cosa devi ascoltare: il modello dello streaming è comodo ma fragile, e soprattutto non è tuo. Se hai una collezione di file musicali — FLAC, MP3, Ogg, qualunque formato — Navidrome la trasforma in un servizio streaming personale accessibile da qualsiasi dispositivo. La versione 0.61, rilasciata alla fine di marzo 2026, ha ricostruito il motore di ricerca con SQLite FTS5 e ranking BM25: in parole povere, cerchi un brano e lo trovi anche con titoli parziali o leggermente sbagliati, cosa che nelle versioni precedenti era un punto debole evidente. Il sistema di plugin è maturato con supporto per richieste HTTP, code di task, provider di testi e storage chiave-valore con TTL, e la comunità sta già costruendo estensioni per i testi sincronizzati, lo scrobbling su Last.fm e l’integrazione con MusicBrainz per i metadati. Un dettaglio che racconta l’attenzione degli sviluppatori per chi fa self-hosting su hardware modesto: nella versione 0.61.1, appena cinque giorni dopo la major release, hanno reso la codifica WebP opzionale perché sui Raspberry Pi causava più overhead che benefici — una scelta tecnica che mette l’utente prima della feature. Navidrome è compatibile con il protocollo Subsonic, il che significa che puoi usare decine di app client — Symfonium su Android, play:Sub su iOS, Submariner su Mac. L’installazione è un singolo container Docker con un volume montato sulla cartella della tua musica. Tre minuti e stai ascoltando la tua collezione dal telefono, in treno, senza pubblicità e senza algoritmi che decidono al posto tuo.
Sicurezza e manutenzione: il prezzo della libertà
Self-hosting significa prendersi una responsabilità che prima delegavi a qualcun altro, e la sicurezza è dove questa responsabilità pesa di più. Il nocciolo della questione è semplice: se esponi un servizio su internet, qualcuno proverà ad attaccarlo. Non è questione di se ma di quando, e le contromisure di base non sono opzionali, sono il prezzo d’ingresso. Il primo passo è disabilitare l’accesso SSH con password e usare solo chiavi crittografiche: un file di pochi kilobyte sul tuo computer che dimostra la tua identità meglio di qualsiasi password. Poi installi Fail2Ban, che blocca automaticamente gli IP dopo un certo numero di tentativi di login falliti, e configuri il firewall UFW lasciando aperte solo le porte 80, 443 e la porta SSH — che farai bene a spostare su un numero non standard, tipo 2222, per ridurre il rumore dei bot automatici che scandagliano la rete ventiquattr’ore su ventiquattro. Queste tre operazioni richiedono meno di mezz’ora e alzano drasticamente il livello di protezione. Non ti rendono invulnerabile, ma eliminano il 99% degli attacchi automatizzati che cercano bersagli facili.
Gli aggiornamenti sono l’altro pilastro, e il caso Vaultwarden è esemplare: una vulnerabilità critica scoperta, corretta e distribuita in pochi giorni, ma la patch ti protegge solo se la installi. Watchtower è un container Docker che controlla periodicamente se esistono nuove versioni delle immagini che usi e le aggiorna in automatico. Non è perfetto — un aggiornamento potrebbe introdurre incompatibilità — ma per la maggior parte degli utenti è meglio dell’alternativa, che è dimenticarsi di aggiornare per mesi lasciando falle aperte a chiunque le cerchi. Per i più prudenti, Watchtower funziona anche in modalità solo notifica: ti avvisa che c’è un aggiornamento disponibile e sei tu a decidere quando applicarlo. I backup meritano un discorso a parte e non ammettono scorciatoie. La regola 3-2-1 — tre copie dei dati, su due supporti diversi, di cui una fuori sede — non è un suggerimento accademico, è il minimo sindacale per dormire tranquilli. Un disco USB esterno per il backup locale e BorgBackup con un repository remoto (anche un VPS economico da 4 euro al mese) ti coprono da guasti hardware, ransomware e incidenti domestici. Borgmatic automatizza il processo con una riga nel crontab: i backup partono ogni notte senza che tu debba muovere un dito. Perché sì, il tuo provider ti sorveglia già — almeno i tuoi backup non devono dipendere da chi ti spia.
La manutenzione del self-hosting nel 2026 non è il calvario che era cinque anni fa. Docker ha standardizzato i deployment, i progetti open source hanno raggiunto una stabilità che rende gli aggiornamenti generalmente indolori, e la comunità — da r/selfhosted su Reddit a Self-Host.it, il portale italiano con oltre 25 guide pratiche sotto licenza Creative Commons — fornisce supporto gratuito e indipendente da qualsiasi interesse commerciale. Non servono competenze da system administrator: serve la volontà di imparare qualcosa di nuovo e la consapevolezza che la comodità del cloud centralizzato ha un prezzo. E quel prezzo sono i tuoi dati, la tua autonomia, il tuo potere contrattuale ridotto a zero di fronte a tre aziende che controllano la memoria digitale del mondo.
Domande frequenti sul self-hosting
Quanto costa fare self-hosting?
Un mini PC adatto parte da circa 150 euro, più un disco esterno per i backup (30-50 euro). Il consumo elettrico incide per pochi euro al mese — un Intel N95 sotto carico tira tra i 10 e i 15 watt. Il confronto con i servizi cloud commerciali, che secondo selfhostable.dev costano tra i 100 e i 200 euro al mese per funzionalità equivalenti, rende il self-hosting conveniente già nel primo anno di utilizzo.
Serve essere un programmatore per fare self-hosting?
No. Servono due competenze base: usare un terminale Linux per copiare e incollare comandi, e modificare un file di testo — il docker-compose.yml. Strumenti come CasaOS e Coolify eliminano anche questo passaggio mettendo un’interfaccia grafica sopra Docker. Se sai installare un’app sul telefono, puoi fare self-hosting nel 2026.
Il self-hosting è sicuro quanto i servizi cloud?
Può essere più sicuro, a patto di seguire le basi: aggiornamenti regolari, accesso SSH solo con chiavi crittografiche, firewall attivo, HTTPS obbligatorio tramite reverse proxy. La differenza rispetto ai servizi centralizzati è che la responsabilità è tua — non devi fidarti di un’azienda che potrebbe subire violazioni come LastPass o cambiare le policy sulla privacy senza avvisarti.
Posso usare le app mobile con i servizi self-hosted?
Sì, tutti e quattro i servizi trattati in questa guida hanno app mobile funzionanti. Nextcloud, Immich e Vaultwarden (tramite l’app ufficiale Bitwarden) sono disponibili su Android e iOS. Per Navidrome puoi usare qualsiasi client compatibile con il protocollo Subsonic: Symfonium su Android e play:Sub su iOS sono tra i più apprezzati dalla comunità.
Cosa succede se il mio hardware si rompe?
Se hai i backup secondo la regola 3-2-1, nulla di irreparabile. Compri un nuovo mini PC, reinstalli Docker, ripristini i volumi dai backup e riparte tutto nel giro di qualche ora. Con una copia fuori sede, anche un guasto hardware totale o un incendio domestico è un inconveniente temporaneo, non una catastrofe.
Il self-hosting non è un ritorno al passato e non è una rinuncia — è un atto di sovranità tecnologica nel presente. Ogni servizio che sposti dal cloud di qualcun altro alla tua macchina è un pezzo di autonomia digitale riconquistata, un rifiuto concreto del modello che vuole trasformarti da proprietario dei tuoi dati in inquilino perenne, sempre a rischio sfratto. Nextcloud, Immich, Vaultwarden, Navidrome: quattro progetti costruiti da comunità che non devono rendere conto a nessun consiglio di amministrazione e non hanno bisogno di vendere i tuoi dati per pagare gli stipendi. Non servono permessi, non servono abbonamenti, non serve chiedere il favore a nessuna piattaforma. Il weekend è arrivato — usa quello che hai, impara quello che non sai, e smetti di chiedere il permesso per possedere i tuoi stessi dati. Se vuoi approfondire le alternative open source alle big tech, il percorso non finisce qui.