Nel mondo dello sviluppo web esiste un vecchio motto: “Se non è rotto, non aggiustarlo”. Ma è davvero ancora valido?
Per anni molte aziende hanno mantenuto i propri applicativi su PHP 5.6, una versione rilasciata nel lontano 2014, semplicemente perché “funzionava ancora”. Tuttavia, con l’entrata in vigore della Direttiva NIS2 (Network and Information Security), questo approccio non è più solo un rischio tecnico: è diventato una responsabilità giuridica ed economica.
Il fantasma tecnologico: cos’è PHP 5.6 oggi?
Per capire il problema, dobbiamo guardare al calendario. Il supporto ufficiale per PHP 5.6 è terminato il 31 dicembre 2018. Da oltre cinque anni, questa versione non riceve patch per la sicurezza, nemmeno per le vulnerabilità critiche.
Utilizzare PHP 5.6 oggi equivale a guidare un’auto con i freni usurati e senza airbag: potrebbe portarti a destinazione finché la strada è dritta, ma non hai alcuna protezione in caso di emergenza. In un ecosistema digitale dove le minacce si evolvono quotidianamente, gestire un server con una tecnologia “End-of-Life” (EOL) significa lasciare la porta di casa aperta e senza serratura.
Il ponte tra codice e normativa: la NIS2
La direttiva NIS2 non è un manuale tecnico che elenca quali software proibire, ma definisce un perimetro di obblighi di sicurezza. Il cardine della normativa ruota attorno a due concetti fondamentali:
Lo Stato dell’Arte: La NIS2 impone l’adozione di misure di sicurezza adeguate allo “stato dell’arte”. Un software che non riceve aggiornamenti di sicurezza da più di un lustro è, per definizione, fuori da questo perimetro.
La Gestione del Rischio: Le aziende devono dimostrare di aver valutato e mitigato i rischi informatici. Mantenere intenzionalmente una versione vulnerabile di PHP senza una strategia di migrazione è una prova documentale di mancata gestione del rischio.
Il rischio della “Supply Chain”
Un aspetto spesso sottovalutato della NIS2 è la sicurezza della catena di approvvigionamento. Anche se la tua azienda non rientra direttamente tra i “Soggetti Essenziali”, i tuoi clienti più grandi probabilmente lo sono. Questi soggetti sono ora obbligati a verificare che i propri fornitori siano sicuri. Se la tua infrastruttura poggia su PHP 5.6, potresti essere considerato un anello debole, rischiando l’esclusione da contratti e partnership strategiche.
Le conseguenze di un “non intervento”
Cosa succede se un’azienda ignora il problema?
Vulnerabilità Exploitabili: Senza patch, falle come l’esecuzione di codice remoto (RCE) o l’iniezione di SQL rimangono aperte per sempre, rendendo i dati aziendali (e dei clienti) facili prede.
Sanzioni Amministrative: La NIS2 prevede multe severe (fino al 2% del fatturato globale) per le realtà che non si adeguano ai requisiti minimi di sicurezza.
Danno Reputazionale: In caso di data breach, “abbiamo usato un software del 2014” non è una giustificazione che i clienti o il Garante della Privacy accetteranno facilmente.
Verso la conformità: la strada da seguire
Aggiornare non è sempre facile, lo sappiamo bene. Spesso PHP 5.6 è legato a legacy code che richiederebbe mesi per essere riscritto. Tuttavia, la conformità alla NIS2 richiede un piano d’azione:
Audit dei Sistemi: Identificare dove e perché PHP 5.6 è ancora in uso.
Piano di Migrazione: Stabilire una timeline per il passaggio a PHP 8.2 o versioni successive.
Misure di Mitigazione: Se la migrazione non è immediata, isolare l’applicazione o proteggerla con sistemi di monitoraggio avanzati, documentando ogni scelta tecnica come parte della strategia di rischio.
Le nostre azioni concrete nel web
Noi di Coding SRL abbiamo da mesi pianificato un adeguamento completo di tutti i nostri sistemi e dei siti web dei nostri clienti per eliminare completamente l’utilizzo di PHP 5.6. Oltre agli interventi sulle nostre infrastrutture e piattaforme interne abbiamo coinvolto e sensibilizzato i nostri clienti per aggiornare i loro siti in tutti i componenti tecnici, portandoli ad adottare versioni di PHP moderne come la 8.2 e 8.3. Sono operazioni a volte tecnicamente complesse ma crediamo fermamente in questo processo di modernizzazione, in nome della sicurezza e dell’efficienza.
Questi sono i siti web dei nostri clienti virtuosi che hanno finora aderito allo “svecchiamento” del loro impianto tecnico e hanno definitivamente abbandonato il PHP 5.6:
- Comunanza Agraria di Cammoro: https://www.comunanzacammoro.it/
- CasaCaravan: https://www.casacaravan.it/
- Santoni Assicurazioni: https://www.santoniassicurazioni.it/
- Hotel Parco Erosa: https://www.parcoerosa.it/
- Amiata Impianti Senese: https://www.amiataimpianti.it/
- ATC 3 Siena Nord: https://www.atcsienanord.it/
- DiMar Group: https://www.dimargroup.com/
- Albergo Sella: https://www.albergosella.it/
In conclusione
La NIS2 ci sta dicendo che la sicurezza informatica non è più un optional “tecnico”, ma una colonna portante della continuità aziendale. PHP 5.6 ha fatto il suo tempo; lasciarlo andare non è solo una scelta di efficienza, ma un atto dovuto per proteggere il valore, la reputazione e il futuro della tua impresa.
