Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

l’analisi

Microsoft IIS fuori supporto: il rischio invisibile della mancata governance degli asset

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

Il caso delle istanze IIS fuori supporto esposte su Internet non dovrebbe essere archiviato come l’ennesima notizia per specialisti. È, al contrario, una fotografia molto concreta di un problema trasversale: la difficoltà delle organizzazioni nel governare ciò che già possiedono

Pubblicato il 27 mar 2026
Sandro Sana

Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0

Microsoft IIS fuori supporto

La notizia secondo cui oltre 511 mila istanze Microsoft IIS (Internet Information Services, il server web sicuro, modulare e ad alte prestazioni progettato esclusivamente per sistemi Windows) risultano ancora esposte su Internet pur essendo fuori dal ciclo di vita ufficiale, con più di 227 mila sistemi che hanno superato anche il periodo di Extended Security Updates, non è soltanto un dato tecnico curioso.

È un segnale molto più serio, perché racconta quanto sia ancora fragile, in molte organizzazioni, la capacità di governare il tempo tecnologico. E quando un’azienda smette di governare il tempo, prima o poi è il rischio a prendere il controllo.

NIS2: cos’è, quali aziende interessa, obblighi e sanzioni

Quando “funziona ancora” diventa un problema

Nelle aziende succede spesso la stessa cosa. Un sistema viene installato, continua a svolgere il suo lavoro, supporta processi importanti, magari è integrato con applicazioni vecchie o personalizzate, e quindi nessuno vuole toccarlo. È comprensibile.

Il problema è che questa logica, apparentemente prudente, nel tempo produce infrastrutture stabili solo in apparenza. Perché un sistema che continua a funzionare non è automaticamente un sistema sotto controllo. Può essere, invece, un sistema rimasto lì per inerzia, mentre attorno a lui cambiano minacce, tecniche di attacco e livello di esposizione.

Il caso IIS mette il dito proprio in questa piaga: non siamo davanti a un singolo errore, ma a una stratificazione di rinvii, compromessi e priorità spostate altrove.

L’obsolescenza non è un dettaglio tecnico

Quando un componente software esce dal supporto, il problema non è solo che diventa “vecchio”. Il problema è che smette di ricevere aggiornamenti di sicurezza ordinari e, terminato anche l’eventuale periodo ESU, resta esposto in modo strutturale.

Microsoft chiarisce che IIS segue il ciclo di vita del sistema operativo Windows e che gli ESU sono solo una misura temporanea, non una soluzione di lungo periodo.

Questo significa che mantenere online piattaforme obsolete, soprattutto se raggiungibili da Internet, equivale a lasciare aperta una finestra che con il tempo diventa sempre più facile da forzare.

Il cybercrime ormai lavora su scala industriale

Qui sta il salto di qualità del rischio. Per anni abbiamo raccontato il cyber attacco come qualcosa di quasi artigianale, basato sul talento del singolo attore malevolo. Oggi non è più così.

Chi attacca lavora con processi automatizzati, scansioni massive, classificazione degli asset esposti e sfruttamento seriale delle debolezze note.

In questo contesto, un server fuori supporto non è solo “più vulnerabile”: è più facile da individuare, catalogare e inserire in una catena di attacco.

Il dato rilanciato da Shadowserver va letto proprio in questo modo: non come un’anomalia isolata, ma come il sintomo di una superficie di attacco globale ancora piena di tecnologie lasciate invecchiare senza una vera regia.

Il punto non è IIS, ma la governance

Sarebbe però sbagliato fermarsi al nome del prodotto. Oggi il problema è IIS, domani potrebbe essere qualunque altro componente legacy esposto all’esterno. Il nodo vero è la governance.

In molte organizzazioni l’aggiornamento di un sistema viene percepito come un costo certo, mentre il rischio derivante dal non aggiornamento viene trattato come una possibilità remota.

È un errore classico, ma ancora diffusissimo. Perché il costo dell’inerzia non sparisce: semplicemente si sposta in avanti, dove si presenterà sotto forma di incidente, fermo operativo, gestione d’urgenza, danno reputazionale o pressione normativa.

E a quel punto non sarà più un tema IT, ma un problema pienamente aziendale.

Perché il management dovrebbe preoccuparsene

Il tema interessa il management perché un’infrastruttura obsoleta e pubblicamente esposta non è una debolezza confinata al reparto tecnico: è una condizione di rischio che può impattare continuità operativa, supply chain, affidabilità dei servizi e capacità dell’organizzazione di dimostrare controllo sui propri asset critici.

La domanda corretta, quindi, non è solo se in azienda esistano ancora server IIS fuori supporto. La domanda vera è molto più scomoda: sappiamo esattamente quali sistemi abbiamo esposti, qual è il loro stato di supporto, chi ne è responsabile e perché sono ancora online?

Dove questa risposta manca, manca anche la governance.

NIS2 e gestione del rischio

In chiave NIS2, la presenza di sistemi esposti su Internet e fuori supporto non va letta come una semplice anomalia tecnica, ma come un potenziale segnale di debolezza nella gestione del rischio.

Un’organizzazione dovrebbe poter dimostrare almeno quattro cose: di conoscere i propri asset esposti, di avere un processo strutturato di vulnerability management, di gestire il ciclo di vita delle tecnologie obsolete e di formalizzare le decisioni quando un rischio residuo viene accettato.

Se un sistema legacy resta online per necessità operative, servono misure compensative reali: segmentazione, monitoraggio rafforzato, hardening e preparedness sugli incidenti.

In sostanza, la domanda NIS2 non è soltanto “esiste una vulnerabilità?”, ma “siamo in grado di dimostrare che la conosciamo, che l’abbiamo valutata e che qualcuno se n’è assunto la responsabilità?”.

Conclusione

Il caso delle istanze IIS fuori supporto esposte su Internet non dovrebbe essere archiviato come l’ennesima notizia per specialisti. È, al contrario, una fotografia molto concreta di un problema trasversale: la difficoltà delle organizzazioni nel governare ciò che già possiedono.

Tutti parlano di trasformazione digitale, innovazione, cloud, intelligenza artificiale. Molti meno parlano con la stessa decisione di dismissione, aggiornamento, sostituzione e fine vita delle tecnologie obsolete.

Eppure, è proprio lì che spesso si annida il rischio più banale e più pericoloso.

Perché la sicurezza non fallisce solo quando manca una difesa. Fallisce anche quando un’organizzazione lascia invecchiare i propri sistemi senza una direzione chiara.

E quel conto, prima o poi, arriva sempre.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Sandro Sana
Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0
Laureato in Ingegneria Informatica e in Scienze della Comunicazione, lavora nel settore dell’Information Technology dal 1990. Nel corso della sua carriera ha collaborato con realtà molto diverse, dalle piccole imprese agli enti pubblici, fino a grandi aziende nazionali e internazionali. Dal 2003 affianca alle competenze tecnologiche un interesse attivo per la comunicazione, il public speaking e la formazione. A partire dal 2014 si dedica con particolare attenzione alla sicurezza informatica, con un focus sull’innovazione, la ricerca e l’evoluzione delle minacce digitali. È certificato CEH – Certified Ethical Hacker, CIH – Certified Incident Handler e CISSP – Certified Information Systems Security Professional. È stato relatore agli eventi SMAU 2017 e 2018, e docente per SMAU Academy e ITS. È membro del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce allo sviluppo di strategie per la formazione, la ricerca applicata e il trasferimento tecnologico nel campo della cyber security. Divulgatore ed editorialista, promuove la cultura della sicurezza digitale con particolare attenzione agli aspetti sociali, economici e normativi della trasformazione digitale. Si occupa di sensibilizzare imprese e istituzioni su rischi, responsabilità e opportunità connesse alla cybersicurezza.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • cyber-resilience-cybersecurity360 - Strategia nazionale di cyber sicurezza: focus, il rafforzamento della resilienza

  • sicurezza informatica

    Cyber resilience nell’era dell’autonomous IT: come superare l’alert fatigue

    14 Ott 2025

    di Mattia Lanzarone

    Condividi
  • Resilienza infrastrutture critiche linee guida UE

  • linee guida

    Infrastrutture critiche, ecco come l’UE aumenterà la resilienza dei settori vitali

    15 Set 2025

    di Luisa Franchina e Tommaso Diddi

    Condividi
  • Asset security

  • l'approfondimento

    Asset Security e classificazione: quando un’etichetta vale più di un firewall

    10 Mar 2026

    di Fabrizio Saviano

    Condividi
  • Lovable app AI creare siti phishing

  • nuove minacce

    Evolvono le strategie cyber criminali: così sfruttano le app di AI per creare siti di phishing

    17 Nov 2025

    di Ferdinando Mancini

    Condividi
0
Lascia un commento, la tua opinione conta.x