Dopo il caso Forbes di pochi giorni fa, tra i social si notano discussioni e confusione su come viene gestita la crittografia di Microsoft, con BitLocker, quando si sceglie di proteggere il proprio device. Questa breve guida vuole essere un passo semplice e divulgativo, per risolvere alcuni dubbi che possono emergere in utenti poco esperti su questo aspetto e che si trovano a dover installare un nuovo dispositivo Windows, con applicazione della crittografia. Alcuni semplici accorgimenti che possono proteggere la nostra privacy, perchè spesso, in sistemi come quelli Microsoft, le scelte di default non sono sempre le migliori.
Il caso di Forbes

Cosa è successo e perché è importante

Forbes ha rivelato che, in un’indagine su una frode legata ai fondi Covid a Guam, l’FBI ha chiesto a Microsoft le chiavi di recupero BitLocker di tre laptop; Microsoft le ha fornite perché quelle chiavi erano state salvate nel cloud associato agli account Microsoft degli utenti. L’azienda ha confermato che, quando ha accesso alle chiavi di BitLocker e riceve un’ordinanza valida, le consegna alle autorità, in media una ventina di volte l’anno.

Il motivo tecnico è semplice: nelle installazioni moderne di Windows 11, soprattutto su PC consumer, l’utente viene spinto a usare un account Microsoft online; quando attiva la crittografia del dispositivo o BitLocker, la chiave di recupero viene caricata automaticamente sull’account, “per sicurezza” e per evitare che l’utente la perda. Il risultato è che l’utente crede di avere cifratura forte “contro chiunque”, mentre in realtà ha delegato a Microsoft la custodia di una copia della chiave.

La guida a BitLocker, semplificata

Quando un utente installa Windows oggi, spesso non si rende conto di firmare un contratto implicito con Microsoft sulla gestione delle chiavi che cifrano il suo disco. Il recente report di Forbes su un’inchiesta dell’FBI a Guam, in cui Microsoft ha consegnato le chiavi di recupero BitLocker di alcuni laptop, non rivela una backdoor tecnica, ma mette in luce una scelta di design che molti utenti accettano senza capirla: se la chiave di recupero finisce nel cloud dell’account Microsoft, Microsoft può fornirla alle autorità quando riceve un ordine del giudice. Il problema non è BitLocker in sé, che resta un motore di cifratura robusto, ma il fatto che, per comodità, Windows tende a legare la crittografia al proprio account online, trasformando la protezione del dispositivo in un servizio di “surrender as a service” per chiunque abbia accesso legale alle chiavi.

Separare crittografia e account Microsoft

Per chi vuole davvero controllare i propri dati, la strada più coerente è separare due cose che Microsoft spinge a confondere: l’uso dell’account Microsoft per servizi cloud e la crittografia del disco locale. Il punto di partenza è chiaro: se durante la prima installazione di Windows 11 si sceglie subito un account Microsoft online, il sistema può attivare automaticamente la “Device Encryption”, una modalità semplificata che in pratica abilita BitLocker sul disco di sistema e su quelli fissi, con la chiave di recupero salvata nel cloud associato all’account. Questo è il comportamento che ha permesso a Microsoft di fornire le chiavi all’FBI nel caso di Guam, perché in quel contesto la chiave era stata espressamente salvata nel cloud dell’account utente e non solo conservata localmente.

Passo 1: installare Windows con account locale

Per evitare di cadere in questa configurazione “pre‑impostata”, la prima mossa è installare Windows usando un account locale, cioè un profilo creato direttamente sul PC senza passare da Outlook, Hotmail o simili. Su molte installazioni recenti, l’interfaccia cerca di dissuadere da questa scelta, ma è ancora possibile ottenere un account offline disconnettendo il PC da Internet durante la configurazione iniziale o sfruttando le opzioni avanzate che permettono di inserire nome utente e password senza un account Microsoft. L’obiettivo non è demonizzare l’account online, ma semplicemente rimandare la sua introduzione a un momento successivo, dopo aver impostato la crittografia in modo consapevole e aver salvato le chiavi in un luogo sotto il controllo diretto dell’utente.

Passo 2: abilitare BitLocker sulle unità disco

Una volta dentro con un account locale amministratore, è il momento di affrontare BitLocker “vero”, non la versione semplificata di Device Encryption. Su Windows 11 Pro o Enterprise, BitLocker è accessibile dal Pannello di controllo, sotto Sistema e sicurezza → Crittografia unità BitLocker, oppure dalle Impostazioni di sicurezza, dove appare come funzione distinta dalla generica crittografia del dispositivo. Qui l’utente può scegliere di cifrare esplicitamente l’unità di sistema e, se vuole, anche altri dischi interni o esterni, con BitLocker To Go per le chiavette USB. Questa granularità è importante perché permette di decidere esattamente quali volumi cifrare e come gestire le chiavi, anziché affidarsi a un wrapper automatico che si attiva e si nasconde da solo.

Durante l’attivazione di BitLocker, Windows chiede come proteggere il disco all’avvio: la modalità più comune su PC moderni è quella che usa il TPM (Trusted Platform Module), un chip dedicato che custodisce la chiave principale e permette al sistema di avviarsi senza chiedere alcun codice, a patto che l’ambiente di boot non sia stato alterato. È possibile però innalzare il livello di sicurezza richiedendo un PIN pre‑boot o una chiave su USB, scelte che rendono più difficile l’accesso a chiunque abbia solo il disco fisico in mano. La guida può spiegare che il TPM non è una backdoor, ma un componente hardware progettato per proteggere le chiavi da estrazione diretta, e che la vera vulnerabilità nasce quando una copia della chiave viene esposta a terzi, come nel caso del backup nel cloud.

Passo 3: salvare le chiavi di recupero offline

Il momento decisivo è la schermata “Come vuoi eseguire il backup della chiave di ripristino?”, che appare sia durante l’attivazione di BitLocker sia quando si chiede un backup a posteriori. Le opzioni tipiche sono: salvare la chiave in un file, stamparla su carta, salvarla su un’unità USB oppure, se si è loggati con un account Microsoft, caricarla nel cloud associato all’account. È proprio questa ultima opzione che trasforma la crittografia in un sistema in cui Microsoft può diventare un punto di accesso legale, perché la chiave diventa un dato che l’azienda può consegnare quando riceve un ordine del giudice.

La strategia che conviene adottare è semplice ma richiede disciplina: ignorare l’opzione “Salva nel tuo account Microsoft” e scegliere invece una o più soluzioni offline. Un file su una chiavetta USB dedicata, una stampa su carta conservata in un luogo sicuro, magari una copia in un archivio di password protetto da una passphrase forte, ma mai lasciata sul disco cifrato stesso. È utile spiegare ai lettori che la chiave di recupero è l’equivalente digitale di un master key: se la si perde, i dati possono diventare irrecuperabili, ma se la si lascia in giro o nel cloud, si annulla gran parte del valore della cifratura. Per ogni unità cifrata, BitLocker genera una chiave distinta, che va etichettata e archiviata con cura, ad esempio “Notebook‑Ufficio‑C:” o “SSD‑Backup‑E:”, per evitare confusione in caso di emergenza.

Passo 4: solo dopo, associare l’account Microsoft

Solo dopo aver completato questo passaggio, con tutte le unità crittografate e le chiavi di recupero al sicuro in forma offline, l’utente può decidere se associare il PC al proprio account Microsoft per sfruttare OneDrive, Store e altri servizi. Questa operazione, che può avvenire trasformando l’account locale in account Microsoft o aggiungendone uno come account aggiuntivo, non modifica retroattivamente il metodo con cui sono state salvate le chiavi di BitLocker. La guida può sottolineare che, a quel punto, l’account online serve per la sincronizzazione e l’accesso ai servizi, non per la custodia delle chiavi di cifratura del disco.

Per chi vuole spingere il livello di privacy ancora oltre, è possibile mantenere un profilo di sola cifratura locale, usando l’account Microsoft solo via browser o app dedicate, senza mai legarlo direttamente al profilo di sistema. In ogni caso, è consigliabile verificare periodicamente la pagina online dove Microsoft elenca le chiavi BitLocker associate all’account, per assicurarsi che non compaiano recuperi inattesi per dispositivi che si ritenevano “air‑gapped” dal punto di vista delle chiavi. Questo controllo è particolarmente importante dopo un aggiornamento di Windows o un cambio di hardware, che potrebbero innescare nuovi salvataggi automatici se non si presta attenzione.

Dal punto di vista teorico, la lezione da estrarre da questa storia è che la cifratura è solo una parte del problema; l’altra parte è la gestione delle chiavi. BitLocker, come sistema crittografico, non è stato compromesso, ma il suo modello di backup “conveniente” nel cloud ha creato un punto di accesso che le autorità possono sfruttare. La differenza tra password di accesso a Windows e chiave di recupero BitLocker è cruciale: la prima è solo un lucchetto all’account, mentre la seconda è ciò che consente di decifrare materialmente il contenuto del disco, rendendola un obiettivo privilegiato per chiunque voglia accedere ai dati.

L’invito qui è quello di trattare la crittografia come un processo consapevole, non come un’opzione che si accende e si dimentica. Installare Windows con un account locale, cifrare esplicitamente le unità con BitLocker, salvare le chiavi di recupero offline e solo dopo associare l’account Microsoft è un flusso che preserva sia la comodità dei servizi cloud sia il controllo effettivo sui dati.

In un mondo in cui le chiavi possono essere richieste a un terzo da un tribunale, la vera sicurezza sta nel decidere chi, oltre a noi, può avere accesso a quelle chiavi, e nel fare in modo che quella lista sia il più breve possibile.