av/studio
▸ Tech Engineering · Commento News

Cloudflare Workers vs VPS: quando conviene davvero

Cloudflare Workers o VPS europeo per il tuo ecommerce? La scelta dipende da CPU time, GDPR e volume di traffico. Guida pratica con soglie e calcoli.

· 8 min lettura · 20 mag 2026

A cura di · Pubblicato

Cloudflare Workers è una piattaforma serverless edge, cioè codice che gira su server distribuiti globalmente senza che tu gestisca macchine fisiche. Per molti ecommerce italiani è un’alternativa concreta all’hosting tradizionale. Non per tutti, e non per tutto.

In sintesi

  • Workers esegue il codice con avvio in sub-millisecondo; il limite di CPU time, cioè tempo effettivo di calcolo, è 30 secondi sul piano paid e 10 millisecondi sul piano gratuito.
  • Il piano gratuito include 100.000 richieste al giorno; il piano paid parte da 5 dollari al mese per 10 milioni di richieste mensili.
  • Workers non ha filesystem nativo: lo storage persistente richiede servizi aggiuntivi come KV (archivio chiave-valore), R2 (file binari) e Durable Objects (stato condiviso).
  • Cloudflare aderisce alle SCC, le Clausole Contrattuali Standard UE-USA, ma non garantisce che ogni richiesta venga processata esclusivamente su nodi nell’Unione Europea.
  • Oltre i 3-4 milioni di richieste mensili con logica complessa, un VPS europeo può risultare più economico — ma il calcolo dipende dal tuo stack.

Cosa sono davvero i Workers (e perché non è solo un CDN veloce)

Cloudflare gestisce oltre 320 PoP, i Points of Presence, cioè i datacenter fisici dove il codice viene eseguito, distribuiti in tutto il mondo. Quando un utente visita il tuo sito, il codice gira sul nodo più vicino a lui geograficamente. Non su un server centralizzato ad Amsterdam o Francoforte. Sul nodo più vicino, punto.

La differenza tecnica rispetto a un VPS tradizionale sta nell’unità di esecuzione. Non un container Docker, cioè un pacchetto software isolato, né una macchina virtuale. Un V8 isolate: un processo leggero basato sullo stesso motore di Chrome, con avvio in sub-millisecondo. Questo elimina il cosiddetto cold start, il ritardo che si verifica quando un server “freddo” deve avviarsi prima di rispondere alla prima richiesta.

Pensa a un negozio di abbigliamento direct-to-consumer che gestisce redirect geolocalizzati — utente da Londra vede prezzi in sterline, utente da Milano vede prezzi in euro — e personalizzazione degli header HTTP. Operazioni leggere, ripetute migliaia di volte al giorno. Workers è costruito esattamente per questo. Il vantaggio di latenza rispetto a una soluzione centralizzata è reale, ma resta teorico finché non lo misuri sul tuo traffico specifico.

Cosa fai oggi: misura la latenza attuale con WebPageTest o Lighthouse su utenti italiani reali. Hai bisogno di un dato di partenza prima di qualsiasi valutazione.

I limiti che contano davvero per un checkout

Il limite che blocca più progetti non è il prezzo. È il CPU time. Dieci millisecondi di calcolo effettivo sul piano gratuito. Trenta secondi sul piano paid. Non è il tempo di attesa totale: è il tempo in cui il processore sta effettivamente lavorando sulla tua richiesta.

Sembra tanto. Non è tanto.

Un flusso di checkout che chiama Stripe per il pagamento, valida l’ordine, aggiorna l’inventario e invia una email transazionale può avvicinarsi a quel limite se la logica è complessa o se i servizi esterni rispondono lentamente. Workers non è pensato per task pesanti: elaborazione PDF, generazione di report, calcoli su grandi dataset, operazioni su file binari.

Considera una clinica privata che genera referti in PDF, o un hotel che produce conferme prenotazione con allegati e firme digitali. La logica di business deve restare su un backend dedicato. Workers può stare davanti come layer di ingresso — gestisce autenticazione, rate limiting (limite al numero di richieste per utente), routing — ma non elabora. Questa distinzione è operativa, non teorica.

Anche i cron job, che Cloudflare chiama Scheduled Workers, rispettano gli stessi limiti. Un job notturno di riconciliazione ordini per un ecommerce con migliaia di transazioni giornaliere non è un caso d’uso adatto. Trentamila ordini da riconciliare con il gestionale, verifica stock, aggiornamento prezzi: troppo. Va su VPS.

Cosa fai oggi: mappa i tuoi task per peso computazionale. Tutto ciò che richiede elaborazione file, loop su grandi dataset o chiamate a servizi lenti va su VPS. Workers gestisce il perimetro esterno.

GDPR e dati sanitari: cosa dice davvero Cloudflare

Cloudflare ha pubblicato un DPA, il Data Processing Addendum, cioè l’accordo sul trattamento dei dati, conforme al GDPR. Aderisce inoltre alle SCC, le Clausole Contrattuali Standard, il meccanismo legale che regola il trasferimento di dati personali dall’Unione Europea verso paesi terzi, inclusi gli Stati Uniti.

La documentazione c’è. Il problema è altrove.

La garanzia di data residency, cioè la certezza che i dati vengano processati esclusivamente su nodi fisicamente localizzati nell’Unione Europea, Cloudflare non la offre in modo assoluto nella configurazione standard. Una richiesta da Milano può transitare su un PoP a Londra o negli Stati Uniti in caso di routing anomalo. Non è un’eccezione teorica: è parte del funzionamento ordinario di una rete distribuita globalmente.

Per dati sanitari — una clinica che gestisce prenotazioni con anamnesi, un laboratorio di analisi che trasmette referti — il Garante per la protezione dei dati personali italiano e le linee guida dell’EDPB, il Comitato europeo per la protezione dei dati, richiedono una valutazione specifica del trasferimento. Le SCC sono una base giuridica valida. Non sono automaticamente sufficienti. Serve una TIA, la Transfer Impact Assessment, cioè una valutazione d’impatto del trasferimento, un documento che analizza i rischi concreti per le persone i cui dati vengono trattati.

La posizione di avstudio su questo punto è netta: per trattamenti di dati sanitari o di pagamento con requisiti di residenza europea documentati, il backend di elaborazione va su VPS europeo certificato. Hetzner in Germania e OVH in Francia sono scelte comuni. Workers può stare davanti come proxy e layer di sicurezza. Non processa i dati sensibili.

Cosa fai oggi: verifica che il tuo DPA con Cloudflare sia firmato e aggiornato. Se tratti dati sanitari, porta la questione al tuo DPO, il Data Protection Officer, cioè il responsabile della protezione dei dati, prima di qualsiasi decisione infrastrutturale.

Le informazioni su GDPR e residenza dei dati sono fornite a titolo orientativo. Per valutazioni specifiche sul tuo caso, consulta un professionista legale con competenza in diritto della privacy.

La soglia economica: quando il VPS diventa più conveniente

Il piano paid di Workers costa 5 dollari al mese per 10 milioni di richieste incluse, poi 0,50 dollari per ogni milione aggiuntivo. Un VPS europeo con 4 core e 8 GB di RAM costa indicativamente 20-25 euro al mese su Hetzner — verifica i prezzi aggiornati direttamente sulla pagina pricing di Hetzner perché variano.

Il confronto non è lineare. Workers elimina i costi di gestione infrastrutturale: niente aggiornamenti di sicurezza, niente monitoraggio uptime, niente provisioning. Aggiunge però complessità architetturale se il tuo stack richiede stato condiviso, filesystem o librerie native non supportate dall’ambiente V8.

In scenari con logica applicativa complessa, oltre i 3-4 milioni di richieste mensili il VPS europeo può risultare più conveniente sul puro costo di calcolo. Sotto quella soglia, o per operazioni stateless, cioè operazioni che non richiedono memoria tra una richiesta e l’altra, Workers è competitivo. Un ecommerce di medie dimensioni con 800.000 richieste mensili — pagine prodotto, ricerche, redirect — sta comodamente nel piano paid a 5 dollari. Un marketplace con logica di prezzo dinamica e milioni di sessioni giornaliere fa un calcolo diverso.

Cosa fai oggi: estrai dal tuo analytics il numero di richieste mensili degli ultimi 90 giorni. Poi confronta con il pricing ufficiale di Cloudflare Workers. Il calcolo richiede 10 minuti.

Dove Workers funziona bene oggi, senza riserve

Ci sono casi d’uso dove Workers è la scelta corretta. Senza grandi caveat.

Cloudflare Turnstile — documentato come alternativa ai CAPTCHA tradizionali, eseguibile come Worker edge per autenticazione e blocco bot senza raccogliere dati biometrici — è un esempio diretto. Per un ecommerce che vuole ridurre l’abuso di coupon o il credential stuffing, cioè i tentativi automatici di accesso con credenziali rubate, Turnstile su Workers è una soluzione concreta e rapida da implementare.

Cloudflare Images consente trasformazioni — ridimensionamento, conversione di formato, ottimizzazione — direttamente sull’edge, eliminando pipeline server-side con strumenti pesanti come ImageMagick per i casi standard. Un catalogo con migliaia di SKU e varianti di immagine beneficia direttamente di questo approccio: l’immagine viene ottimizzata una volta, servita velocemente, senza caricare il tuo server.

Redirect geolocalizzati, personalizzazione degli header, A/B test sul layer di routing, protezione da bot su endpoint critici. Sono tutti task stateless, leggeri. Workers li gestisce bene e a costi contenuti. È qui che dà il meglio.

Domande correlate

Cloudflare Workers è adatto per un checkout con Stripe?

Per la parte di validazione e routing, sì. Per l’elaborazione completa dell’ordine con logica pesante, dipende dal CPU time richiesto. Se il flusso supera i 30 secondi di calcolo effettivo o richiede librerie native non supportate da V8, serve un backend dedicato su VPS europeo.

Le SCC di Cloudflare bastano per il GDPR in Italia?

Le Clausole Contrattuali Standard sono una base giuridica valida per il trasferimento dati UE-USA, ma non automaticamente sufficiente per dati sensibili. Per dati sanitari o di pagamento, il Garante Privacy italiano richiede una valutazione d’impatto specifica del trasferimento. Consulta un legale specializzato.

Qual è il limite pratico di Workers per task in background?

Trenta secondi di CPU time effettivo per richiesta, anche per i Scheduled Workers. Task di riconciliazione, generazione report o elaborazione file pesanti devono girare su un server tradizionale.

Quando ha senso usare Workers insieme a un VPS, non in alternativa?

Quasi sempre, per stack complessi. Workers gestisce il perimetro — sicurezza, routing, cache, ottimizzazione immagini — mentre il VPS europeo gestisce la logica di business con stato, i dati sensibili e i task computazionalmente pesanti.

Fonti:

Vuoi capire come applicarlo alla tua azienda?

Parla con Chiara — AI Audit gratuito 30 min Iscriviti newsletter