L'acquisizione di VMware da parte di Broadcom nel 2023 continua a generare conseguenze significative per migliaia di aziende in tutto il mondo, con una situazione particolarmente critica che emerge nel settore della sicurezza informatica. Numerosi clienti che possiedono licenze perpetue per i prodotti VMware si trovano ora in una posizione di vulnerabilità estrema, impossibilitati ad accedere agli aggiornamenti di sicurezza essenziali per proteggere le proprie infrastrutture virtuali. La strategia commerciale aggressiva di Broadcom, che punta a convertire tutti i clienti verso abbonamenti software più costosi, sta creando un paradosso pericoloso: sistemi critici rimangono esposti a minacce note mentre le aziende navigano tra pressioni economiche e necessità di sicurezza.
Il dilemma delle patch di sicurezza bloccate
La questione tecnica alla base del problema è apparentemente semplice ma dalle conseguenze devastanti. Broadcom ha modificato il portale di supporto VMware introducendo controlli più stringenti sui diritti di accesso, che di fatto impediscono ai clienti con licenze perpetue, e senza contratti di supporto attivi, di scaricare le correzioni di sicurezza. Secondo testimonianze raccolte dai clienti, il personale di supporto VMware ha comunicato che potrebbero essere necessari fino a 90 giorni prima che le patch diventino disponibili attraverso canali alternativi.
Un portavoce di VMware ha confermato la situazione spiegando che "il nostro portale di supporto richiede la validazione dei diritti del cliente per le patch software, quindi solo i clienti autorizzati hanno accesso alle patch in questo momento". L'azienda ha promesso un "ciclo di distribuzione delle patch separato" per i clienti non autorizzati, ma senza fornire tempistiche precise.
Vulnerabilità critiche in un momento delicato
L'ironia della situazione diventa ancora più evidente considerando che VMware ha pubblicato undici avvisi di sicurezza solo nel 2025, incluso un recente allarme riguardante falle critiche che permettono agli aggressori con privilegi amministrativi su una macchina virtuale di eseguire codice sul sistema host. Si tratta di una delle minacce più severe in ambiente virtualizzato, capace di compromettere intere infrastrutture IT.
La comunità degli esperti di sicurezza informatica osserva con preoccupazione questa dinamica, poiché gli ambienti VMware rappresentano spesso il cuore pulsante delle infrastrutture aziendali. Gli attaccanti sono notoriamente interessati a colpire implementazioni VMware, rendendo l'accesso tempestivo alle patch un elemento non negoziabile per la sicurezza aziendale.
Il caso olandese come precedente legale
Una battaglia legale nei Paesi Bassi ha fornito un interessante precedente per questa controversia. Un tribunale olandese ha ordinato alla divisione VMware di Broadcom di continuare a fornire supporto software per almeno due anni a Rijkswaterstaat (RWS), l'agenzia esecutiva del Ministero delle Infrastrutture e della Gestione delle Acque nei Paesi Bassi. L'agenzia governativa utilizzava la virtualizzazione server di VMware da oltre 15 anni con una licenza perpetua e aveva rifiutato di acquistare un accordo di licenza in abbonamento che, secondo le loro stime, avrebbe comportato un aumento dei costi dell'85% per continuare a utilizzare lo stesso software.
Questa decisione giudiziaria potrebbe aprire la strada a contenziosi simili in altri paesi europei, dove le normative sulla protezione dei consumatori e la continuità dei servizi essenziali potrebbero offrire strumenti legali analoghi. Il caso olandese dimostra come le istituzioni pubbliche stiano reagendo alle pratiche commerciali considerate eccessive da parte del nuovo management di VMware.
Le promesse disattese di Broadcom
Nell'aprile 2024, il CEO di Broadcom Hock Tan aveva pubblicamente promesso "accesso gratuito alle patch di sicurezza zero-day per le versioni supportate di vSphere" per garantire che i clienti "possano utilizzare le licenze perpetue in modo sicuro". Tuttavia, la realtà attuale sembra contraddire queste assicurazioni, con clienti che segnalano impossibilità di accesso alle patch dal maggio 2024.
La strategia di Broadcom appare chiara: utilizzare la leva della sicurezza per spingere i clienti verso modelli di abbonamento più redditizi. Tuttavia, questa tattica rischia di creare un precedente pericoloso nell'industria del software enterprise, dove la sicurezza viene subordinata a considerazioni puramente commerciali. Per le aziende italiane che utilizzano VMware, questa situazione rappresenta un campanello d'allarme sulla necessità di diversificare le proprie strategie di virtualizzazione e considerare alternative che garantiscano maggiore indipendenza dai fornitori.