Una quota di mercato del 30% dovrebbe essere una benedizione, invece si sta rivelando uno dei più grossi problemi che si trova ad affrontare la nuova Microsoft di Satya Nadella (Ceo dell’azienda) e di John W. Thompson, il potente chairman che lo ha selezionato, già numero uno del colosso dell’antivirus Symantec. Perché il 30% del mercato dei sistemi operativi appartiene a Windows XP, l’OS lanciato dodici anni fa nel 2001 e che l’8 aprile prossimo, dopo cinque versioni, tre service pack (l’ultimo rilasciato esattamente cinque anni fa) e una miriade quasi incalcolabile di aggiornamenti di sicurezza, va definitivamente in pensione. È il secondo più diffuso sistema operativo del pianeta, secondo solo al successore Windows 7, che detiene a tutt’oggi il 48% del mercato, con buona pace di Windows Vista e Windows 8. In effetti, i più grandi nemici dei nuovi prodotti di Microsoft continuano ad essere i suoi stessi vecchi prodotti.
Il problema adesso però è molto concreto: il pensionamento di XP con la cessazione degli aggiornamenti di sicurezza, il che comporta la vulnerabilità “senza rete” di chi ancora lo utilizza. Si calcola che al mondo ci siano più di 400 milioni di PC che usano Windows XP.
Lo scenario, secondo gli analisti, è tutt’altro che semplice: non si tratta di utenti consumer che non vogliono aggiornare il vecchio portatile. Tutt’altro. Parliamo invece di pubbliche amministrazioni, grande aziende, e poi una pletora quasi infinita di soluzioni industriali costruite attorno al sistema operativo di Microsoft: sistemi per il controllo di telai e apparati di fabbrica, pompe di benzina, sistemi di bordo di navi e autotreni, e decine di altre soluzioni “invisibili”. “Grazie al costo molto basso delle architetture x86 – dice David Ludlow, esperto di sicurezza informatica – e alla facilità di sviluppare applicazioni per MS-Dos e Windows XP, ancora oggi moltissimi macchinari che richiedono “intelligenza” hanno nel loro cuore un piccolo PC che viaggia con XP”.
Soprattutto, sono Pc collegati a macchinari che in ambiente industriale hanno cicli di vita molti più lunghi di quelli ai quali siamo abituati nel mercato dell’informatica. Il ponte retrattile che collega il terminal all’aereo? Almeno trent’anni di vita e Windows XP dietro ai sensori e controlli. Pompe di benzina? Più di trent’anni, con MS-Dos e poi XP al cuore. Le gru industriali che sollevano nelle fabbriche pezzi giganteschi come le turbine per impianti idroelettrici? In alcuni casi sessant’anni di vita, da una decina con XP ai controlli dopo l’ultimo ammodernamento.
La casistica è quasi infinita: si potrebbe scrive un libro sui posti insoliti e insospettabili in cui è stato installato Windows XP, spesso per sostituire precedenti installazioni basate su processori Intel 286 e MS-Dos, il vecchissimo sistema operativo di Microsoft nato nel 1981, ben 33 anni fa. Compresi i bancomat e gli apparati ospedalieri, sia quelli per la gestione del pubblico che quelli per il funzionamento della maggior parte dei macchinari di analisi e cura.
Non bisogna infatti dimenticare i settori critici in cui “gira” XP, nonostante da due anni Microsoft abbia cominciato a segnalare che entro il 2014 il sistema operativo XP sarebbe stato dismesso e non ci sarebbero state più attività di manutenzione di codice e aggiornamento per proteggerlo da minacce, virus, attacchi di hacker malvagi. “In Italia – dice Carlo Mauceli, responsabile Microsoft Italia della digitalizzazione in rapporto alla PA e al governo – ci sono aziende private e pubbliche che si sono messe al passo da tempo, ma tante altre non lo hanno fatto. Soprattutto nella Pubblica Amministrazione, con una situazione critica nella sanità e nel privato con i bancomat di molti istituti di credito”.
Non va meglio all’estero: secondo il Wall Street Journal Windows XP è ancora presente su circa il 10% dei computer governativi Usa, cioè centinaia di migliaia di PC. In Italia, secondo Idc, il 24% delle piccole e medie imprese è legatissimo a XP: in piena epoca tablet e smartphone il tessuto industriale dei distretti lo utilizza su oltre l’80% dei propri computer.
In altri settori critici invece si è fatto qualcosa per tempo: l’Enav, la società Nazionale per l’Assistenza al Volo, ad esempio, ha dichiarato di essere “in linea coi tempi e le modalità di passaggio da XP a Windows 7 su circa 3000 postazioni” e che i suo apparecchi sono “a norma anche rispetto all’obbligo di emissione di Fatturazione Elettronica stabilito dalla Finanziaria 2008”.
Le banche in Italia possono contare su un paio di anni in più perché nei bancomat utilizzano una versione speciale, “embedded” del sistema operativo di Microsoft, un po’ più sicura: la versione commerciale detiene un vero e proprio record di vulnerabilità e attacchi subiti, anche a causa della sua grande diffusione. Inoltre, come risulta anche dai recenti dati diffusi tramite il Forum Abi Lab, che si è tenuto la settimana scorsa a Milano, l’investimento degli istituti di credito italiani per la sicurezza informatica e l’innovazione è costante: più di 4 miliardi di euro all’anno nel 2012 e nel 2013. Il “rischio XP” non è poi così elevato.
Il problema è invece per chi resta indietro. Soprattutto la nostra PA, che per Mauceli “è il posto dove c’è il maggior rischio”. Enti centrali e locali che non sono migrati, e che se lo fanno si muovono con tempi lunghi, senza automatizzare le procedure. Ma perché non cambiano sistema operativo? Non c’è solo una questione di aggiornamento dei PC o di spending review per i costi delle nuove versioni.
Il principale problema è in un collo di bottiglia da cui è difficile uscire anche volendo: l’aggiornamento degli applicativi mission critical. Le Asl e ospedali aspettano, oltre ai successori di Windows XP, anche gli aggiornamenti dei software come CUP, utilizzato per le prenotazioni e il pagamento dei ticket. Se un fornitore software è in ritardo o non è più in grado di sviluppare la nuova versione (magari perché nel frattempo è fallito), si blocca tutto il processo e i PC di tutto il sistema sanitario rimangono esposti a virus e malware.
La stessa cosa succede anche per i macchinari, con un problema in più. Un impianto per l’ecografia o una macchina per fare la TAC, ad esempio, possono costare fino a un paio di milioni di euro, e sono tra gli apparecchi che richiedono più certificazioni al mondo. Solo installare un service pack, cioè un aggiornamento secondario del sistema operativo che collega il macchinario alla rete dell’ospedale, richiede la certificazione ex novo di tutta l’installazione. Fino a centomila euro e un fermo-macchina di settimane, se non di mesi. Un costo che molti ospedali italiani semplicemente non possono permettersi. Anche questo è il costo nascosto del software che i manager pubblici non hanno saputo (o forse voluto?) calcolare al momento dell’acquisto.
