Software End-of-Life: la bomba a orologeria nelle reti PMI

Scritto da ExposIQ | Marzo 10, 2026

Da qualche parte nella vostra rete funziona probabilmente un sistema che non riceve aggiornamenti di sicurezza da mesi o anni. Funziona, nessuno si lamenta, e proprio qui sta il problema. Il software end-of-life e una delle falle di sicurezza piu frequenti e al contempo piu sottovalutate nelle reti delle PMI svizzere.

End-of-Life (EOL) significa che il produttore non rilascia piu aggiornamenti di sicurezza. Ogni nuova vulnerabilita scoperta in questo software restera aperta per sempre. Nessuna patch, nessuna correzione, nessun aiuto dal produttore. Il software diventa una porta d’ingresso permanentemente aperta.

Il panorama EOL attuale: cosa e interessato adesso

La lista dei prodotti recentemente dismessi o in prossima scadenza e lunga e riguarda componenti infrastrutturali centrali che si trovano praticamente in ogni PMI.

Windows Server 2012 e 2012 R2

Il supporto esteso e terminato nell’ottobre 2023. Ciononostante, numerose istanze funzionano ancora nelle PMI svizzere, spesso come file server, print server o per applicazioni specializzate. Senza Extended Security Updates (ESU) di Microsoft, non ci sono piu patch. E anche i programmi ESU a pagamento hanno una durata limitata nel tempo.

Windows Server 2016

Il supporto mainstream e terminato nel gennaio 2022, il supporto esteso prosegue fino a gennaio 2027. Sembra molto tempo, ma le migrazioni richiedono pianificazione, test e budget. Chi non pianifica ora dovra migrare sotto pressione temporale.

PHP 7.x

PHP 7.4 ha raggiunto il suo End-of-Life nel novembre 2022. PHP 8.0 e seguito nel novembre 2023, PHP 8.1 nel dicembre 2025. Ciononostante, secondo le statistiche, oltre il 40 percento di tutti i siti web PHP funziona ancora su versioni senza supporto di sicurezza attivo. Nel panorama delle PMI svizzere, dove molti siti web si basano su WordPress, Joomla o applicazioni PHP personalizzate, la percentuale e altrettanto elevata.

Microsoft Exchange Server 2013 e 2016

Exchange 2013 ha raggiunto il suo End-of-Life nell’aprile 2023. Exchange 2016 e 2019 seguono nell’ottobre 2025. I server Exchange sono particolarmente critici poiche sono direttamente raggiungibili da Internet e in passato sono stati ripetutamente bersaglio di attacchi gravi: ProxyLogon e ProxyShell sono solo gli esempi piu noti.

OpenSSL 1.x

OpenSSL 1.1.1 ha raggiunto il suo End-of-Life nel settembre 2023. La libreria e utilizzata da innumerevoli applicazioni e servizi per la comunicazione crittografata. Molte appliance, sistemi embedded e distribuzioni Linux meno recenti utilizzano ancora OpenSSL 1.x, spesso senza che l’amministratore ne sia consapevole.

Altri prodotti frequentemente interessati

  • CentOS 7: EOL dal giugno 2024 – ancora molto diffuso come sistema operativo server
  • Ubuntu 18.04 LTS: Il supporto standard e terminato nel maggio 2023
  • Java 8: Gli aggiornamenti pubblici di Oracle per uso commerciale sono terminati gia nel 2019
  • Apache 2.2: Senza aggiornamenti di sicurezza dal 2018, ma ancora attivo su molti web server
  • jQuery 1.x e 2.x: Integrato in milioni di siti web, con vulnerabilita XSS note
  • VMware vSphere 6.x: Fine del supporto generale raggiunta – patch disponibili solo con supporto esteso

La realta delle PMI svizzere

Perche questi sistemi sono ancora in funzione? Le ragioni si ripetono in ogni audit:

“Funziona ancora.” L’argomento piu pericoloso nella sicurezza IT. La funzionalita non ha nulla a che fare con la sicurezza. Un Windows Server 2012 che fornisce file in modo affidabile rimane comunque una porta aperta per gli aggressori.

Dipendenza da applicazioni specializzate. Un software di settore specializzato funziona solo su Windows Server 2016. Il produttore ha interrotto lo sviluppo o richiede costi di licenza elevati per un aggiornamento. Quindi il vecchio sistema resta.

Nessun budget per la migrazione. La migrazione di un server Exchange a Microsoft 365 o a un Exchange attuale costa tempo e denaro. Finche “non succede nulla”, il budget viene impiegato diversamente.

Nessuno lo sa. Negli ambienti IT cresciuti organicamente, e facile perdere la visione d’insieme. Il server Linux installato da un ex collaboratore sei anni fa funziona silenziosamente, con una versione PHP che non riceve aggiornamenti da tre anni.

Il rischio reale: cosa fanno gli aggressori con il software EOL

Gli aggressori cercano sistematicamente software end-of-life perche sanno che le vulnerabilita trovate non saranno mai corrette. L’approccio e sistematico:

  1. Scansioni automatizzate: I bot scansionano continuamente Internet alla ricerca di software obsoleto. Strumenti come Shodan e Censys rendono i risultati pubblicamente consultabili.
  2. Sviluppo di exploit senza pressione temporale: Non appena una nuova vulnerabilita nel software EOL diventa nota, gli aggressori possono sviluppare exploit senza lavorare contro il tempo. Non ci sara mai una patch.
  3. Testa di ponte nella rete: Un sistema EOL compromesso funge da punto di partenza per il movimento laterale nella rete. Da li vengono attaccati sistemi attuali e ben protetti.
  4. Distribuzione di ransomware: Molti gruppi ransomware utilizzano vulnerabilita note in software obsoleto come punto di accesso iniziale. Il gruppo “LockBit” ha ripetutamente utilizzato server Exchange non aggiornati come punto d’ingresso.

Implicazioni della nLPD: rischi legali

La nuova Legge svizzera sulla Protezione dei Dati (nLPD), in vigore dal settembre 2023, richiede “misure tecniche e organizzative adeguate” per la protezione dei dati personali. Gestire software senza aggiornamenti di sicurezza e difficile da sostenere come “adeguato”, specialmente se questo software elabora dati personali.

In caso di violazione della protezione dei dati, viene posta la domanda: “Avreste potuto prevenire l’incidente?” Se la risposta e “Si, attraverso un aggiornamento software disponibile e ragionevolmente implementabile”, la questione della responsabilita diventa rapidamente scomoda.

Particolarmente critici sono:

  • Server e-mail con dati dei clienti su Exchange EOL
  • Web server con portali clienti su PHP obsoleto
  • File server con dati del personale su Windows Server 2012
  • Sistemi CRM su server di database obsoleti

Riconoscere il software EOL: l’inventario come base

Il primo passo e il rilevamento sistematico. La verifica manuale di ogni singolo sistema e dispendiosa in termini di tempo e soggetta a errori. Gli scanner di vulnerabilita automatizzati possono identificare in modo affidabile i prodotti End-of-Life, e spesso vengono scoperti sistemi di cui nessuno sapeva che esistessero ancora.

Le piattaforme di scansione moderne rilevano oltre 300 diversi prodotti EOL e confrontano automaticamente le versioni installate con i cicli di vita dei produttori. Il risultato e un elenco chiaro: quale software ha ancora supporto? Quale no? Quanto e urgente la migrazione?

Strategie di migrazione per le PMI

La migrazione del software EOL non deve essere pianificata come un progetto mastodondico. Un approccio pragmatico:

1. Prioritizzazione basata sul rischio: I sistemi raggiungibili da Internet o che elaborano dati sensibili hanno la massima priorita. Un print server interno senza accesso alla rete e meno urgente del web server pubblico.

2. Misure compensative per il periodo transitorio: Se una migrazione immediata non e possibile, la segmentazione della rete, regole firewall rigorose e un monitoraggio rafforzato aiutano a ridurre il rischio. Queste misure non sostituiscono la migrazione, ma fanno guadagnare tempo.

3. Valutare la migrazione al cloud: Per molti servizi, in particolare e-mail e archiviazione file, il passaggio ai servizi cloud e spesso piu economico e sicuro di un aggiornamento locale. Microsoft 365 al posto di Exchange On-Premise, SharePoint Online al posto del file server Windows.

4. Mettere in discussione le applicazioni specializzate: Se un’applicazione specializzata e l’unico motivo per un sistema operativo obsoleto, bisogna avviare il dialogo con il produttore del software. Spesso esistono percorsi di migrazione non comunicati o alternative sul mercato.

5. Pianificare il budget a lungo termine: I cicli di vita IT sono prevedibili. Se Windows Server 2016 raggiunge il suo End-of-Life nel gennaio 2027, il budget deve essere pianificato per il 2026, non solo a dicembre 2026.

Monitoraggio continuo anziche verifica una tantum

Nuovo software raggiunge costantemente il suo End-of-Life. Cio che oggi e attuale puo essere senza supporto tra 12 mesi. Per questo una verifica una tantum non e sufficiente. Scansioni automatizzate regolari garantiscono che il software appena aggiunto o appena dismesso venga rilevato immediatamente.

Conclusione

Il software end-of-life non e un rischio teorico. E un punto debole concreto e misurabile che gli aggressori sfruttano attivamente. La buona notizia: il software EOL e riconoscibile e la correzione e pianificabile. Serve solo la volonta di guardare e gli strumenti giusti per mantenere la visione d’insieme.

ExposIQ rileva automaticamente oltre 300 prodotti End-of-Life e mostra chiaramente quali sistemi nella vostra rete funzionano senza supporto di sicurezza. Combinato con la valutazione CVSS, EPSS e KEV, vedete immediatamente dove si trova il rischio maggiore. Hosting svizzero, conforme alla nLPD, a partire da CHF 99 al mese. Scoprite di piu su exposiq.ch.

ExposIQ è la piattaforma svizzera per la gestione automatizzata delle vulnerabilità. Aiutiamo le PMI e i fornitori di servizi IT a identificare e correggere le vulnerabilità – in modo sicuro, comprensibile e conforme alla nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Azienda

Chi siamo Contatto Blog
 Informativa sulla privacy Termini di utilizzo

Newsletter

Copyright © ExposIQ Svizzera 2026. Tutti i diritti riservati.