Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Ottobre 2026 e gennaio 2027 non sono più date lontane. Sono il capolinea per tre pilastri rilasciati nel 2016. Windows 10 Enterprise LTSB 2016 e Windows 10 IoT Enterprise 2016 LTSB andranno in end of support il 13 ottobre 2026. Subito dopo sarà il turno di Windows Server 2016, che chiuderà il ciclo il 12 gennaio 2027.
Un ultimo aggiornamento di sicurezza mensile nelle date indicate, poi il buio. Niente più patch di sicurezza, niente fix non di sicurezza, niente supporto tecnico, niente aggiornamenti della documentazione online. Fine del supporto significa fine della protezione ufficiale.
Per chi non riesce a migrare in tempo esiste il programma Extended Security Updates. Una proroga a pagamento che consente di ricevere esclusivamente aggiornamenti di sicurezza per un massimo di tre anni dopo la fine del supporto.
Si paga per restare fermi. Più sicuri, ma fermi.
Il prezzo parte da 61 dollari per dispositivo per il primo anno. Scende a 45 dollari per device se i sistemi sono gestiti tramite Microsoft Intune o Windows Autopatch.
Il dettaglio che pesa sui budget è un altro. Il costo raddoppia ogni anno. Le licenze sono cumulative, quindi chi decide di aderire al secondo o terzo anno deve pagare anche quelli precedenti. Una scelta che impatta in modo significativo su ambienti con centinaia o migliaia di endpoint.
Per Windows Server 2016 i prezzi ufficiali non sono ancora stati comunicati, ma è ragionevole aspettarsi cifre importanti in contesti virtualizzati o data center complessi.
La direzione indicata è chiara. Aggiornare verso le versioni Long-Term Servicing Channel più recenti
L’obiettivo è spostare le organizzazioni fuori dal 2016 e dentro piattaforme con un ciclo di vita più esteso e una postura di sicurezza allineata alle minacce attuali.
Il tema non è solo tecnico. È anche politico e regolatorio. La pressione esercitata da Euroconsumers ha portato a modifiche nella policy ESU per l’Area Economica Europea.
Le preoccupazioni riguardavano l’obbligo di pagamento o condizioni legate all’account cloud per continuare a ricevere aggiornamenti di sicurezza. Dopo il confronto, gli utenti Windows 10 nell’EEA hanno ottenuto accesso agli ESU fino al 14 ottobre 2026 senza pagamento e senza obbligo di backup su account cloud Microsoft.
Un precedente che dimostra quanto il tema della sicurezza a pagamento sia diventato sensibile anche a livello istituzionale.
Nel 2026 le TTP dei threat actor non saranno quelle del 2016. Restare su piattaforme legacy significa ampliare la superficie d’attacco, soprattutto in ambienti ibridi, infrastrutture IoT o reti dove l’hardening non viene rivisto da anni.
L’ESU può essere una scelta tattica per guadagnare tempo. Non può diventare una strategia strutturale.
La domanda che ogni responsabile IT dovrebbe porsi è semplice. Stiamo pagando per pianificare una transizione seria oppure stiamo acquistando l’illusione di sicurezza?
Perché dopo il terzo anno non ci saranno ulteriori proroghe. Ci saranno solo sistemi fuori supporto, esposti e inevitabilmente nel mirino.
La finestra per agire è adesso. Nel 2027 potrebbe non esserci più margine di manovra.
