Martedì 14 luglio 2026 è il Patch Tuesday del mese — e per SQL Server 2016 è l’ultimo appuntamento della sua vita: con la fine del supporto esteso, gli aggiornamenti distribuiti questa settimana sono gli ultimi che Microsoft pubblicherà per questa versione. Della strategia di uscita — upgrade a SQL Server 2022, Azure SQL, Extended Security Updates — abbiamo scritto nella guida della settimana scorsa. Questo pezzo è più terra terra: cosa fare questa settimana, nell’ordine giusto. Aggiorneremo l’articolo con i dettagli degli aggiornamenti appena Microsoft li pubblica martedì sera.
Perché l’ultima patch conta più delle altre
Dopo martedì, ogni nuova vulnerabilità scoperta su SQL Server 2016 resta aperta per sempre — a meno di pagare gli ESU. E le vulnerabilità nuove arriveranno: SQL Server 2017, 2019 e 2022 condividono con il 2016 larghe parti di codice, e ogni volta che Microsoft correggerà un problema su quelle versioni, ricercatori e attaccanti verificheranno se la falla esiste anche sul 2016 — dove, però, nessuna patch arriverà mai. È il meccanismo che rende i sistemi fuori supporto bersagli sempre più facili col passare dei mesi: non serve trovare una falla nuova, basta aspettare che ne emerga una vecchia.
Per questo l’ultimo aggiornamento va installato ovunque, anche sulle istanze che migreranno a breve: è il punto di partenza più sicuro possibile per i mesi di transizione.
Il censimento: le istanze che non sapete di avere
L’esperienza sul campo dice una cosa precisa: SQL Server 2016 sopravvive raramente sul database principale, che qualcuno controlla — e molto più spesso negli SQL Express installati dai gestionali: contabilità, produzione, rilevazione presenze, gestione badge, console antivirus, centralini. Sono lo stesso motore, con le stesse vulnerabilità, ma nessuno li considera «un database»: fanno parte dell’applicativo, e per questo non li patcha nessuno.
- Cercate i servizi, non le icone. Su ogni server (e sui client usati come mini-server) guardate i servizi Windows:
MSSQLSERVERè l’istanza predefinita,MSSQL$NOMEsono le istanze nominate — tipiche degli Express portati in dote dai gestionali. - Verificate la versione con una query.
SELECT @@VERSIONsull’istanza: se la build inizia con 13.0, è SQL Server 2016. L’ultimo livello di servicing è il Service Pack 3: chi è indietro deve prima arrivare lì per ricevere l’aggiornamento finale. - Chiedete ai fornitori degli applicativi. Per ogni Express trovato, la domanda al fornitore del gestionale è una sola: «l’applicativo è certificato su SQL Server 2019 o 2022?». La risposta decide la strada di quella istanza — e i tempi.
La checklist della settimana
| Quando | Cosa fare |
|---|---|
| Oggi e domani | Censimento delle istanze (servizi + @@VERSION) e verifica dei backup: un backup testato prima di patchare non è burocrazia, è la rete di sicurezza. |
| Da martedì sera | Applicare l’ultimo aggiornamento di sicurezza (GDR) su tutte le istanze 2016, Express compresi — pianificando i riavvii con i fornitori degli applicativi. |
| Entro fine mese | Decidere la strada per ogni istanza: upgrade a SQL Server 2022, Azure SQL, oppure ESU via Azure Arc come ponte. I criteri nella guida dedicata. |
| Finché si resta sul 2016 | Ridurre l’esposizione: nessun accesso da Internet, segmentazione di rete, accessi al minimo, monitoraggio attivo. Un database fuori supporto va trattato come un ospite delicato, non come un servizio qualunque. |
ESU via Azure Arc, in pratica
Per le istanze che non possono migrare in tempi brevi — tipicamente perché il gestionale non è ancora certificato su versioni successive — gli Extended Security Updates sono il ponte ufficiale: aggiornamenti di sola sicurezza fino al 17 luglio 2029, sottoscritti collegando il server ad Azure Arc, che li distribuisce e li fattura come abbonamento mensile — senza contratti enterprise, con un costo che cresce di anno in anno proprio per ricordare che è un ponte, non una destinazione. L’onboarding in Arc è un’operazione da poche ore, e porta in dote inventario e monitoraggio centralizzati anche per i server rimasti on-premise.
Il nostro modello
Per chi non ha un referente IT interno che possa dedicarci la settimana: facciamo esattamente questo — censimento delle istanze, applicazione dell’ultimo aggiornamento, attivazione ESU dove serve e piano di migrazione, come parte del supporto e operations e dei progetti di virtualizzazione server.
Fonti
- Microsoft Learn — «SQL Server 2016 end of support» e «Extended Security Updates for SQL Server»
- Microsoft Lifecycle — SQL Server 2016 (fine supporto esteso: 14 luglio 2026)
- Microsoft Security Update Guide (MSRC) — aggiornamenti del Patch Tuesday di luglio 2026
Approfondisci
Domande frequenti
Le risposte alle domande più comuni sulle ultime patch di SQL Server 2016.
No: continua a funzionare esattamente come prima. Quello che finisce è il supporto esteso — quindi le patch di sicurezza. Ogni vulnerabilità scoperta dal 15 luglio in poi resta aperta per sempre, a meno di sottoscrivere gli Extended Security Updates (ESU) tramite Azure Arc, disponibili fino al 17 luglio 2029. Il rischio non è il blocco: è l’esposizione crescente nel tempo.
Il modo più diretto è eseguire SELECT @@VERSION sull’istanza: SQL Server 2016 risponde con build 13.0.x. In alternativa, cercate sui server i servizi Windows che iniziano per MSSQL$ (istanze nominate, tipiche degli Express installati dai gestionali) o MSSQLSERVER. L’ultimo livello di servicing supportato è il Service Pack 3: chi è indietro deve prima portarsi a SP3 per ricevere l’aggiornamento finale.
Sì, e probabilmente più di chi ha un DBA: l’Express è lo stesso motore di SQL Server, con le stesse vulnerabilità, ma nessuno se ne prende cura perché «fa parte del gestionale». È il caso più comune di SQL 2016 sopravvissuto in azienda. Va censito, aggiornato all’ultima patch e incluso nel piano di migrazione — coordinandosi con il fornitore dell’applicativo per la compatibilità con le versioni successive.
Sì, senza esitazione. La migrazione richiede settimane o mesi, e in quel periodo l’istanza resta in produzione: l’ultimo aggiornamento è il punto di partenza più sicuro possibile. In più, quando Microsoft correggerà in futuro vulnerabilità su SQL 2017, 2019 e 2022, ricercatori e attaccanti verificheranno se colpiscono anche il 2016: un’istanza ferma a una build vecchia è il bersaglio più facile della catena.
Gli Extended Security Updates sono aggiornamenti di sola sicurezza (livello critico e importante) che Microsoft vende dopo la fine del supporto. Per SQL Server 2016 si sottoscrivono collegando il server ad Azure Arc, che li distribuisce e li fattura come abbonamento: coprono fino al 17 luglio 2029, con un costo che cresce di anno in anno. Sono un ponte per pianificare la migrazione con calma, non una destinazione.