La notizia secondo cui oltre 511 mila istanze Microsoft IIS (Internet Information Services, il server web sicuro, modulare e ad alte prestazioni progettato esclusivamente per sistemi Windows) risultano ancora esposte su Internet pur essendo fuori dal ciclo di vita ufficiale, con più di 227 mila sistemi che hanno superato anche il periodo di Extended Security Updates, non è soltanto un dato tecnico curioso.

È un segnale molto più serio, perché racconta quanto sia ancora fragile, in molte organizzazioni, la capacità di governare il tempo tecnologico. E quando un’azienda smette di governare il tempo, prima o poi è il rischio a prendere il controllo.

Quando “funziona ancora” diventa un problema

Nelle aziende succede spesso la stessa cosa. Un sistema viene installato, continua a svolgere il suo lavoro, supporta processi importanti, magari è integrato con applicazioni vecchie o personalizzate, e quindi nessuno vuole toccarlo. È comprensibile.

Il problema è che questa logica, apparentemente prudente, nel tempo produce infrastrutture stabili solo in apparenza. Perché un sistema che continua a funzionare non è automaticamente un sistema sotto controllo. Può essere, invece, un sistema rimasto lì per inerzia, mentre attorno a lui cambiano minacce, tecniche di attacco e livello di esposizione.

Il caso IIS mette il dito proprio in questa piaga: non siamo davanti a un singolo errore, ma a una stratificazione di rinvii, compromessi e priorità spostate altrove.

L’obsolescenza non è un dettaglio tecnico

Quando un componente software esce dal supporto, il problema non è solo che diventa “vecchio”. Il problema è che smette di ricevere aggiornamenti di sicurezza ordinari e, terminato anche l’eventuale periodo ESU, resta esposto in modo strutturale.

Microsoft chiarisce che IIS segue il ciclo di vita del sistema operativo Windows e che gli ESU sono solo una misura temporanea, non una soluzione di lungo periodo.

Questo significa che mantenere online piattaforme obsolete, soprattutto se raggiungibili da Internet, equivale a lasciare aperta una finestra che con il tempo diventa sempre più facile da forzare.

Il cybercrime ormai lavora su scala industriale

Qui sta il salto di qualità del rischio. Per anni abbiamo raccontato il cyber attacco come qualcosa di quasi artigianale, basato sul talento del singolo attore malevolo. Oggi non è più così.

Chi attacca lavora con processi automatizzati, scansioni massive, classificazione degli asset esposti e sfruttamento seriale delle debolezze note.

In questo contesto, un server fuori supporto non è solo “più vulnerabile”: è più facile da individuare, catalogare e inserire in una catena di attacco.

Il dato rilanciato da Shadowserver va letto proprio in questo modo: non come un’anomalia isolata, ma come il sintomo di una superficie di attacco globale ancora piena di tecnologie lasciate invecchiare senza una vera regia.

Il punto non è IIS, ma la governance

Sarebbe però sbagliato fermarsi al nome del prodotto. Oggi il problema è IIS, domani potrebbe essere qualunque altro componente legacy esposto all’esterno. Il nodo vero è la governance.

In molte organizzazioni l’aggiornamento di un sistema viene percepito come un costo certo, mentre il rischio derivante dal non aggiornamento viene trattato come una possibilità remota.

È un errore classico, ma ancora diffusissimo. Perché il costo dell’inerzia non sparisce: semplicemente si sposta in avanti, dove si presenterà sotto forma di incidente, fermo operativo, gestione d’urgenza, danno reputazionale o pressione normativa.

E a quel punto non sarà più un tema IT, ma un problema pienamente aziendale.

Perché il management dovrebbe preoccuparsene

Il tema interessa il management perché un’infrastruttura obsoleta e pubblicamente esposta non è una debolezza confinata al reparto tecnico: è una condizione di rischio che può impattare continuità operativa, supply chain, affidabilità dei servizi e capacità dell’organizzazione di dimostrare controllo sui propri asset critici.

La domanda corretta, quindi, non è solo se in azienda esistano ancora server IIS fuori supporto. La domanda vera è molto più scomoda: sappiamo esattamente quali sistemi abbiamo esposti, qual è il loro stato di supporto, chi ne è responsabile e perché sono ancora online?

Dove questa risposta manca, manca anche la governance.

Conclusione

Il caso delle istanze IIS fuori supporto esposte su Internet non dovrebbe essere archiviato come l’ennesima notizia per specialisti. È, al contrario, una fotografia molto concreta di un problema trasversale: la difficoltà delle organizzazioni nel governare ciò che già possiedono.

Tutti parlano di trasformazione digitale, innovazione, cloud, intelligenza artificiale. Molti meno parlano con la stessa decisione di dismissione, aggiornamento, sostituzione e fine vita delle tecnologie obsolete.

Eppure, è proprio lì che spesso si annida il rischio più banale e più pericoloso.

Perché la sicurezza non fallisce solo quando manca una difesa. Fallisce anche quando un’organizzazione lascia invecchiare i propri sistemi senza una direzione chiara.

E quel conto, prima o poi, arriva sempre.