Approfondimenti

SQL Server 2016:
il supporto finisce il 14 luglio

·SQL ServerWindows 10Fine supportoMigrazionePMI
Fine supporto SQL 201614 luglio 2026
ESU disponibili fino al17 luglio 2029
Windows 10Fuori supporto da ott. 2025
ESU Windows 10 aziendeFino a 3 anni

Il 14 luglio 2026 — martedì prossimo — Microsoft rilascia l’ultimo Patch Tuesday che include SQL Server 2016. Da quel momento la versione esce dal supporto esteso: ogni vulnerabilità scoperta in seguito resta senza correzione ufficiale. Non è un caso isolato: è l’ultimo capitolo di una coda di prodotti legacy che molte PMI italiane hanno ancora in produzione, spesso senza un piano. Vediamo il calendario completo, le opzioni concrete e come impostare la transizione senza fermare l’azienda.

Il calendario delle scadenze

La scadenza imminente riguarda SQL Server 2016, il cui supporto esteso termina il 14 luglio 2026. Ma il quadro è più ampio, perché una parte del parco software aziendale è già oltre la linea: Windows 10 è fuori dal supporto dal 14 ottobre 2025 (la 22H2 è stata l’ultima versione), e lo stesso giorno sono usciti dal supporto anche Office 2016 e 2019, Exchange Server 2016 e 2019, Skype for Business Server, Visio e Project 2016/2019.

Per molte PMI questo significa che il gestionale gira su un database che tra pochi giorni non riceverà più patch, interrogato da postazioni Windows 10 che non ne ricevono già più da mesi — salvo adesione ai programmi di aggiornamenti estesi. È la classica «bomba a orologeria legacy»: tutto funziona, nulla è coperto.

Cosa significa davvero «fine del supporto»

Fine del supporto non significa che il software smette di funzionare: significa che smette di essere difendibile. Niente più aggiornamenti di sicurezza, nemmeno per vulnerabilità critiche sfruttate attivamente; niente correzioni di bug; niente supporto tecnico del produttore. Ogni CVE pubblicata dopo la scadenza resta aperta per sempre sulla versione non supportata.

C’è anche un piano di conformità: chi opera con un sistema di gestione certificato ISO/IEC 27001 ha tra i controlli la gestione delle vulnerabilità tecniche, e chi rientra nel perimetro della NIS2 ha obblighi espliciti di gestione delle vulnerabilità e di manutenzione dei sistemi. Un parco software fuori supporto senza piano di rientro documentato è un rilievo quasi automatico in audit — e una domanda scomoda dopo un incidente.

Le tre strade per SQL Server 2016

  • 1Upgrade a SQL Server 2022 — la strada più lineare per chi resta on-premise: motore moderno, supporto pieno, funzionalità di sicurezza attuali. Il nodo è la compatibilità applicativa: i gestionali di fascia media sono spesso certificati solo per versioni specifiche del motore, e l’upgrade va validato con il fornitore dell’applicativo prima di toccare la produzione. Se il server fisico è datato, è anche l’occasione per virtualizzare invece di ricomprare ferro.
  • 2Migrazione ad Azure SQL — Azure SQL Managed Instance offre compatibilità elevata con SQL Server e delega alla piattaforma patching, alta disponibilità e backup. Ha senso quando si vuole uscire dalla gestione del motore database, dentro un percorso di migrazione cloud più ampio. Richiede una valutazione seria di dipendenze applicative, latenza verso le sedi e modello di costo.
  • 3Extended Security Updates via Azure Arc — per chi non può migrare subito, Microsoft rende disponibili gli ESU fino al 17 luglio 2029: si registrano i server ad Azure Arc con fatturazione pay-as-you-go mensile, oppure si acquistano tramite Volume Licensing (richiede Software Assurance attiva). Chi esegue SQL Server 2016 su macchine virtuali Azure riceve gli ESU direttamente attraverso la piattaforma. È la scelta giusta quando il vincolo è l’applicativo, non l’infrastruttura.

Perché gli ESU sono un ponte, non una meta

Gli Extended Security Updates coprono solo le vulnerabilità classificate critiche e importanti. Non includono nuove funzionalità, correzioni non di sicurezza né supporto tecnico ordinario. Nel frattempo il software invecchia: le incompatibilità con sistemi operativi, driver e applicativi nuovi si accumulano, e il costo del programma è pensato per crescere di anno in anno, proprio per spingere alla migrazione. Gli ESU comprano tempo — e comprarlo è legittimo quando serve — ma il tempo va usato per eseguire un piano, non per rimandarlo.

Windows 10: il capitolo parallelo

Per Windows 10 la scadenza è già passata: il supporto è terminato il 14 ottobre 2025. Le organizzazioni possono aderire al programma ESU, che copre fino a tre anni di patch di sicurezza critiche e importanti con acquisto annuale cumulativo (chi entra il secondo anno paga anche il primo). I prerequisiti: versione 22H2 con i pacchetti di preparazione ESU installati; le edizioni LTSB/LTSC non rientrano nel programma perché seguono cicli di vita propri. L’attivazione in ambiente aziendale passa da Intune, Windows Autopatch o Volume Licensing.

Anche qui vale la logica del ponte: gli ESU tengono in sicurezza le postazioni che non possono ancora passare a Windows 11 — per vincoli hardware o applicativi — mentre si pianifica il rinnovo. Per il parco client la transizione è spesso l’occasione per ripensare il modello: dispositivi gestiti con Intune e profili standardizzati, invece di macchine configurate una a una, e identità e postazioni governate da Microsoft 365.

Il rischio concreto: il legacy è il primo bersaglio

Non è teoria. L’Operational Summary di maggio 2026 del CSIRT Italia indica come vettori dominanti degli attacchi l’uso di credenziali valide già compromesse e lo sfruttamento di servizi di accesso remoto mal configurati — e segnala il manifatturiero tra i settori più colpiti dai ransomware. Un database SQL Server 2016 senza patch, raggiungibile da un accesso remoto debole, che custodisce ordini, anagrafiche clienti e documenti, è esattamente la combinazione che un affiliato ransomware cerca: un punto di ingresso noto, dati che valgono un riscatto, un’azienda che non può permettersi il fermo.

La difesa non è solo aggiornare: è sapere di poter ripartire. Qualunque strada scegliate per la transizione, un backup verificato con disaster recovery testato è il prerequisito — sia contro il ransomware, sia come rete di sicurezza durante la migrazione stessa.

Come impostare la transizione

  • 1Inventario— censire tutte le istanze SQL Server (comprese quelle «nascoste» dentro applicativi) e le postazioni Windows 10, con versioni e dipendenze.
  • 2Verifica di compatibilità — per ogni applicativo che dipende da SQL 2016, interpellare il fornitore: certificato per SQL 2022? Per Azure SQL? Con quali tempi?
  • 3Piano differenziato — cosa migra subito, cosa si virtualizza, cosa resta coperto da ESU con una data di uscita scritta. Ogni sistema in ESU deve avere un proprietario e una scadenza.
  • 4Rete di sicurezza — backup testato prima di ogni passaggio, finestra di rollback definita, e monitoraggio rafforzato sui sistemi che restano in ESU.

È il lavoro che facciamo ogni settimana con le PMI: valutare il contesto reale — applicativi, budget, vincoli — e costruire la transizione tecnica che regge, on-premise o in cloud. Se il 14 luglio vi trova ancora su SQL Server 2016, la priorità è attivare la copertura ESU e mettere una data sul piano di migrazione.

Fonti

  • Microsoft SQL Server Blog — «SQL Server 2016 Extended Security Updates: Stay Protected While You Modernize» (23 giugno 2026)
  • Microsoft TechCommunity — «Windows 10 Extended Security Updates: A Bridge to Your Windows 11 Experience» (28 giugno 2026)
  • Microsoft Learn — documentazione lifecycle: Extended Security Updates program per Windows 10; prodotti a fine supporto il 14 ottobre 2025
  • ACN / CSIRT Italia — Operational Summary maggio 2026 (24 giugno 2026)

Domande frequenti

Le risposte alle domande più comuni sulla fine del supporto di SQL Server 2016 e Windows 10.

La scadenza è il 14 luglio: pianifica adesso

Inventario delle istanze, verifica di compatibilità con i tuoi gestionali e piano di transizione — upgrade, cloud o ESU come ponte. Ti affianchiamo dalla valutazione all’esecuzione, on-premise e in cloud.