Il 14 ottobre 2025 Windows 10 esce dal perimetro di sicurezza Microsoft: niente più fix e assistenza, rimarranno solo gli aggiornamenti gratuiti per un altro anno, a patto però di autenticarsi sulle macchine con un account Microsoft.
Il PC continuerà a funzionare, ma rimane alto il rischio che ogni nuova vulnerabilità resterà aperta e gli attaccanti non si lasciano sfuggire queste praterie. È un fatto, non un’opinione.
Migrare a Windows 11 non è “fare l’upgrade al look&feel”: è ripristinare una base sicura e supportata, con requisiti hardware pensati per la security by default (TPM 2.0, UEFI/Secure Boot) e funzionalità che su Windows 10 non arriveranno più.
In parole povere: riduci la superficie d’attacco e riallinei il ciclo di patch al presente.
Indice degli argomenti
Perché conviene migrare (subito)
Primo: continuità di patching. Con Windows 11 torni nel flusso ordinario di aggiornamenti mensili e mitigazioni rapide. Restare su Windows 10 significa inseguire: puoi comprare tempo, non sicurezza. (Ci torniamo tra un attimo con l’ESU).
Secondo: sicurezza di piattaforma. L’obbligo di TPM 2.0 abilita di default meccanismi chiave (protezione delle credenziali, attestazione dell’integrità, cifratura disco) e rende più robusta l’identità del device. In un modello “identity-centric” è benzina buona per ridurre gli impatti degli incidenti.
Terzo: governance del rischio (NIS2). La direttiva impone misure “adeguate e proporzionate” di gestione del rischio, basate su un approccio all-hazards: gestione di configurazioni, vulnerabilità, patch, continuità e incident handling. Conservare in produzione un OS fuori supporto rende più difficile dimostrare la “ragionevolezza” dei controlli, soprattutto quando esiste un’alternativa supportata.
Quarto: business case. Posticipare la migrazione aumenta costi indiretti (downtime per incidenti evitabili, effort di hardening compensativo, vincoli sulle applicazioni). Anche ricerche “di mercato” convergono: ritardare l’upgrade espone a più rischi e più costi complessivi, specie in contesti produttivi/OT con device sul campo.
“Non posso migrare ovunque”: cosa succede davvero se resti su Windows 10
Se non puoi migrare subito a Windows 11, tipico nei reparti produttivi, su macchine legacy, o dove alcune applicazioni verticali non sono ancora qualificate, esiste il cuscinetto dell’Extended Security Updates (ESU): patch di sicurezza critiche e importanti fino al 13 ottobre 2026 (niente nuove funzioni, niente supporto pieno).
È utile per comprare tempo, non per sostituire la migrazione. Per i tenant enterprise è gestibile via canali Volume; per i PC consumer esistono percorsi semplificati.
Un’ultima nota sull’ecosistema d’ufficio: Microsoft 365 Apps non saranno più supportate su Windows 10 dopo il 14/10/2025 ma, per ridurre la frizione durante il passaggio, riceveranno aggiornamenti di sicurezza fino al 10 ottobre 2028.
È una rete di sicurezza per le app, non per il sistema: sotto resta un OS fuori supporto, quindi il rischio strutturale non cambia.
NIS2: il nodo non è tecnologico, è di governance
Come anticipavamo, la Direttiva NIS2 (art. 21) chiede di gestire il rischio cyber con misure adeguate e proporzionate: politiche di analisi del rischio, incident handling, business continuity/DR, sicurezza della supply chain, e, qui il punto, processi di vulnerability e patch management efficaci.
Mantenere un parco Windows 10 oltre l’EoS complica la vita a audit e autorità: o dimostri controlli compensativi solidi (segmentazione, hardening, monitoraggio, isolamento) più ESU, oppure la postura resta fragile.
In Italia, le determinazioni ACN hanno già tradotto questi principi in “obblighi di base” operativi, con enfasi proprio su configurazioni, patch e vulnerabilità.
In termini di accountability, dire “non aggiorno perché l’app X non è compatibile” non basta: devi poter mostrare perimetro, rischio residuo, compensazioni e piano di rientro. Questo è ciò che distingue l’IT “eroico” dalla governance.
Come impostare una migrazione che non rompa il business
L’approccio che proponiamo ai clienti è lineare e documentabile (perfetto anche per audit NIS2):
- Discovery serio, non a spanne. Inventario puntuale di device, versioni, ruoli, dipendenze applicative. Etichetta i “non migrabili” (assenza TPM 2.0, CPU fuori lista, vincoli OT) e quelli “migrabili subito”.
- Compatibilità applicativa e pilota. Verifica vendor-by-vendor, usa ambienti di test e un pilota progressivo su utenti “early”. Dove serve, valuta coesistenza temporanea (VDI, packaging dedicato, app virtualization) per superare i colli di bottiglia.
- Piano di rimpiazzo hardware. Se il device non raggiunge i requisiti minimi (TPM 2.0/UEFI/Secure Boot), programmare la sostituzione è più economico che stratificare compensazioni per anni. In parallelo, attiva ESU solo dove serve e solo per il tempo strettamente necessario.
- Controlli compensativi per i legacy. Segmentazione di rete, allow-list stretta, privilegi minimi, logging avanzato, EDR/XDR più sensibili, geofencing e isolamento dei protocolli obsoleti. Per le postazioni OT, separazione netta IT/OT e broker sicuri.
- Governance & prove di ripristino. Aggiorna policy, RACI e runbook di incident response; inserisci la migrazione nel registro rischi con priorità, budget e milestone. Esegui tabletop e restore test: non basta installare, bisogna provare.
- Comunicazione interna. Spiega che l’upgrade non è un “capriccio IT” ma un requisito di resilienza: meno downtime, meno superfici d’attacco, più continuità. Soprattutto in vista degli obblighi NIS2.
Perché migrare a Windows 11
Puoi rimandare la migrazione, non il rischio. Se non puoi aggiornare oggi, dimostralo, compra tempo con l’ESU, isola i legacy e pianifica il rientro.
Ma non raccontiamoci che “Windows 10 va ancora benissimo”: dopo il 14 ottobre è fuori supporto.
E con la NIS2 la domanda non è “quanto costa aggiornare”, ma “quanto costa giustificare e contenere, un rischio evitabile”.
