BitLocker: chiavi fuori dal cloud. Guida alla crittografia di Windows, passo per passo
Dopo il caso Forbes di pochi giorni fa, tra i social si notano discussioni e confusione su come viene gestita la crittografia di Microsoft, con BitLocker, quando si sceglie di proteggere il proprio device. Questa breve guida vuole essere un passo semplice e divulgativo, per risolvere alcuni dubbi che possono emergere in utenti poco esperti su questo aspetto e che si trovano a dover installare un nuovo dispositivo Windows, con applicazione della crittografia. Alcuni semplici accorgimenti che possono proteggere la nostra privacy, perchè spesso, in sistemi come quelli Microsoft, le scelte di default non sono sempre le migliori.
Il caso di Forbes
Cosa è successo e perché è importante
Forbes ha rivelato che, in un’indagine su una frode legata ai fondi Covid a Guam, l’FBI ha chiesto a Microsoft le chiavi di recupero BitLocker di tre laptop; Microsoft le ha fornite perché quelle chiavi erano state salvate nel cloud associato agli account Microsoft degli utenti. L’azienda ha confermato che, quando ha accesso alle chiavi di BitLocker e riceve un’ordinanza valida, le consegna alle autorità, in media una ventina di volte l’anno.
Il motivo tecnico è semplice: nelle installazioni moderne di Windows 11, soprattutto su PC consumer, l’utente viene spinto a usare un account Microsoft online; quando attiva la crittografia del dispositivo o BitLocker, la chiave di recupero viene caricata automaticamente sull’account, “per sicurezza” e per evitare che l’utente la perda. Il risultato è che l’utente crede di avere cifratura forte “contro chiunque”, mentre in realtà ha delegato a Microsoft la custodia di una copia della chiave.
La guida a BitLocker, semplificata
Quando un utente installa Windows oggi, spesso non si rende conto di firmare un contratto implicito con Microsoft sulla gestione delle chiavi che cifrano il suo disco. Il recente report di Forbes su un’inchiesta dell’FBI a Guam, in cui Microsoft ha consegnato le chiavi di recupero BitLocker di alcuni laptop, non rivela una backdoor tecnica, ma mette in luce una scelta di design che molti utenti accettano senza capirla: se la chiave di recupero finisce nel cloud dell’account Microsoft, Microsoft può fornirla alle autorità quando riceve un ordine del giudice. Il problema non è BitLocker in sé, che resta un motore di cifratura robusto, ma il fatto che, per comodità, Windows tende a legare la crittografia al proprio account online, trasformando la protezione del dispositivo in un servizio di “surrender as a service” per chiunque abbia accesso legale alle chiavi.
Separare crittografia e account Microsoft
Per chi vuole davvero controllare i propri dati, la strada più coerente è separare due cose che Microsoft spinge a confondere: l’uso dell’account Microsoft per servizi cloud e la crittografia del disco locale. Il punto di partenza è chiaro: se durante la prima installazione di Windows 11 si sceglie subito un account Microsoft online, il sistema può attivare automaticamente la “Device Encryption”, una modalità semplificata che in pratica abilita BitLocker sul disco di sistema e su quelli fissi, con la chiave di recupero salvata nel cloud associato all’account. Questo è il comportamento che ha permesso a Microsoft di fornire le chiavi all’FBI nel caso di Guam, perché in quel contesto la chiave era stata espressamente salvata nel cloud dell’account utente e non solo conservata localmente.
Passo 1: installare Windows con account locale
Per evitare di cadere in questa configurazione “pre‑impostata”, la prima mossa è installare Windows usando un account locale, cioè un profilo creato direttamente sul PC senza passare da Outlook, Hotmail o simili. Su molte installazioni recenti, l’interfaccia cerca di dissuadere da questa scelta, ma è ancora possibile ottenere un account offline disconnettendo il PC da Internet durante la configurazione iniziale o sfruttando le opzioni avanzate che permettono di inserire nome utente e password senza un account Microsoft. L’obiettivo non è demonizzare l’account online, ma semplicemente rimandare la sua introduzione a un momento successivo, dopo aver impostato la crittografia in modo consapevole e aver salvato le chiavi in un luogo sotto il controllo diretto dell’utente.
Passo 2: abilitare BitLocker sulle unità disco
Una volta dentro con un account locale amministratore, è il momento di affrontare BitLocker “vero”, non la versione semplificata di Device Encryption. Su Windows 11 Pro o Enterprise, BitLocker è accessibile dal Pannello di controllo, sotto Sistema e sicurezza → Crittografia unità BitLocker, oppure dalle Impostazioni di sicurezza, dove appare come funzione distinta dalla generica crittografia del dispositivo. Qui l’utente può scegliere di cifrare esplicitamente l’unità di sistema e, se vuole, anche altri dischi interni o esterni, con BitLocker To Go per le chiavette USB. Questa granularità è importante perché permette di decidere esattamente quali volumi cifrare e come gestire le chiavi, anziché affidarsi a un wrapper automatico che si attiva e si nasconde da solo.
Durante l’attivazione di BitLocker, Windows chiede come proteggere il disco all’avvio: la modalità più comune su PC moderni è quella che usa il TPM (Trusted Platform Module), un chip dedicato che custodisce la chiave principale e permette al sistema di avviarsi senza chiedere alcun codice, a patto che l’ambiente di boot non sia stato alterato. È possibile però innalzare il livello di sicurezza richiedendo un PIN pre‑boot o una chiave su USB, scelte che rendono più difficile l’accesso a chiunque abbia solo il disco fisico in mano. La guida può spiegare che il TPM non è una backdoor, ma un componente hardware progettato per proteggere le chiavi da estrazione diretta, e che la vera vulnerabilità nasce quando una copia della chiave viene esposta a terzi, come nel caso del backup nel cloud.
Passo 3: salvare le chiavi di recupero offline
Il momento decisivo è la schermata “Come vuoi eseguire il backup della chiave di ripristino?”, che appare sia durante l’attivazione di BitLocker sia quando si chiede un backup a posteriori. Le opzioni tipiche sono: salvare la chiave in un file, stamparla su carta, salvarla su un’unità USB oppure, se si è loggati con un account Microsoft, caricarla nel cloud associato all’account. È proprio questa ultima opzione che trasforma la crittografia in un sistema in cui Microsoft può diventare un punto di accesso legale, perché la chiave diventa un dato che l’azienda può consegnare quando riceve un ordine del giudice.
La strategia che conviene adottare è semplice ma richiede disciplina: ignorare l’opzione “Salva nel tuo account Microsoft” e scegliere invece una o più soluzioni offline. Un file su una chiavetta USB dedicata, una stampa su carta conservata in un luogo sicuro, magari una copia in un archivio di password protetto da una passphrase forte, ma mai lasciata sul disco cifrato stesso. È utile spiegare ai lettori che la chiave di recupero è l’equivalente digitale di un master key: se la si perde, i dati possono diventare irrecuperabili, ma se la si lascia in giro o nel cloud, si annulla gran parte del valore della cifratura. Per ogni unità cifrata, BitLocker genera una chiave distinta, che va etichettata e archiviata con cura, ad esempio “Notebook‑Ufficio‑C:” o “SSD‑Backup‑E:”, per evitare confusione in caso di emergenza.
Passo 4: solo dopo, associare l’account Microsoft
Solo dopo aver completato questo passaggio, con tutte le unità crittografate e le chiavi di recupero al sicuro in forma offline, l’utente può decidere se associare il PC al proprio account Microsoft per sfruttare OneDrive, Store e altri servizi. Questa operazione, che può avvenire trasformando l’account locale in account Microsoft o aggiungendone uno come account aggiuntivo, non modifica retroattivamente il metodo con cui sono state salvate le chiavi di BitLocker. La guida può sottolineare che, a quel punto, l’account online serve per la sincronizzazione e l’accesso ai servizi, non per la custodia delle chiavi di cifratura del disco.
Per chi vuole spingere il livello di privacy ancora oltre, è possibile mantenere un profilo di sola cifratura locale, usando l’account Microsoft solo via browser o app dedicate, senza mai legarlo direttamente al profilo di sistema. In ogni caso, è consigliabile verificare periodicamente la pagina online dove Microsoft elenca le chiavi BitLocker associate all’account, per assicurarsi che non compaiano recuperi inattesi per dispositivi che si ritenevano “air‑gapped” dal punto di vista delle chiavi. Questo controllo è particolarmente importante dopo un aggiornamento di Windows o un cambio di hardware, che potrebbero innescare nuovi salvataggi automatici se non si presta attenzione.
Dal punto di vista teorico, la lezione da estrarre da questa storia è che la cifratura è solo una parte del problema; l’altra parte è la gestione delle chiavi. BitLocker, come sistema crittografico, non è stato compromesso, ma il suo modello di backup “conveniente” nel cloud ha creato un punto di accesso che le autorità possono sfruttare. La differenza tra password di accesso a Windows e chiave di recupero BitLocker è cruciale: la prima è solo un lucchetto all’account, mentre la seconda è ciò che consente di decifrare materialmente il contenuto del disco, rendendola un obiettivo privilegiato per chiunque voglia accedere ai dati.
L’invito qui è quello di trattare la crittografia come un processo consapevole, non come un’opzione che si accende e si dimentica. Installare Windows con un account locale, cifrare esplicitamente le unità con BitLocker, salvare le chiavi di recupero offline e solo dopo associare l’account Microsoft è un flusso che preserva sia la comodità dei servizi cloud sia il controllo effettivo sui dati.
In un mondo in cui le chiavi possono essere richieste a un terzo da un tribunale, la vera sicurezza sta nel decidere chi, oltre a noi, può avere accesso a quelle chiavi, e nel fare in modo che quella lista sia il più breve possibile.
According to a Forbes report, Microsoft will provide BitLocker encryption recovery keys stored in the cloud to law enforcement if presented with a valid legal order, such as a court-issued warrant.
Suraj Bhowal (Tech Sportskeeda)
![[nanofix] and his assortment of tweezers](https://poliverso.org/photo/link/393829 "[nanofix] and his assortment of tweezers")
![[Denny] removing a plaster bust from a microwave-softened mold](https://poliverso.org/photo/link/393461 "[Denny] removing a plaster bust from a microwave-softened mold")
TiTiNoNero
in reply to informapirata ⁂ • • •Sembra che sia quasi diventato un nuovo fenomeno di costume. Già lo sto sentendo:
«Mi faccio il selfie con l'ICE, ma quanto sono tosti!?»
Diverrà la nuova frontiera della tostaggine, dopo i Marines, gli Spetsnaz, Chuck Norris e il Krav Maga israeliano... e su di noi - povere mezzeseghe italiche - queste cose fanno una enorme presa...
@politica
reshared this
informapirata ⁂ reshared this.
informapirata ⁂
in reply to TiTiNoNero • • •@77nn mediamente dal punto di vista professionale l'ICE è monnezza e addirittura fa molto più schifo rispetto alle stesse forze di polizia USA (e tieni conto che i poliziotti delle città sono poco più che vigili urbani con le pistole e il loro addestramento non è neanche minimamente paragonabile a quello dei nostri poliziotti e carabinieri)...
Quindi diciamo che questo rischio non lo vedo concreto, ma magari è meglio che non mi metta a fare previsioni 😂
@smaurizi @politica
informapirata ⁂
Unknown parent • • •@OhSeitan lungi da me difendere la sora Fascia, ma il governo Meloni ha fatto quello che avrebbe fatto qualunque governo: @smaurizi spiega bene che gli accordi dei paesi europei sono con il DHS, Department of Homeland Security, l’agenzia creata dopo l’11/9 da Bush Sr per proteggere FRONTIERE e PATRIO SUOLO e l’ICE fa parte del DHS
@politica
reshared this
Politica interna, europea e internazionale reshared this.
GioSeve
in reply to informapirata ⁂ • • •informapirata ⁂
in reply to GioSeve • • •@Gioseve20 no, già nel 2006 durante i mondiali di calcio in Germania il Department of Homeland Security ha aiutato la Germania a mettere in sicurezza il Campionato mondiale dal rischio del terrorismo: i funzionari dell’ICE in quel caso hanno lavorando dentro i centri operativi. Ma si trattava di personale diverso e selezionato, non delle squadracce che abbiamo visto in questi giorni.
Spero in una interrogazione parlamentare
@smaurizi @politica
informapirata ⁂
in reply to informapirata ⁂ • • •@Gioseve20 naturalmente in Italia non verranno gli scappati di casa che vediamo per le strade USA, ma i funzionari di alto livello. Il problema è che oggi l'ICE dovrebbe essere messa al bando dall'ONU, non invitata in giro per il mondo
@smaurizi @politica
GioSeve
in reply to informapirata ⁂ • • •Eh?!?
in reply to informapirata ⁂ • • •Seconda domanda: gli accordi "impongono" la collaborazione o stavolta qualcuno del governo italiano avrebbe potuto dire "non ci serve niente, grazie."?
informapirata ⁂
in reply to Eh?!? • • •@Eh__tweet questo tipo di accordi di solito non impone nulla, ma è chiaro che se il governo italiano dicesse "non ci serve niente, grazie." sarebbe uno sgarbo che va giutsificato con una narrativa credibile.
E sinceramente, non ce lo vedi un governo di mezze tacche che hanno costruito il loro consenso vomitando odio contro gli immigrati e facendo i cosplay di Balbo e Galbiati che dice "no, non vogliamo collaborare con chi deporta gli immigrati e ha comportamenti fascisti!"
[AF]2050
in reply to informapirata ⁂ • • •Io non
PORCO SCHIFO GLI ICE
Devo fare di tutto per evitare di guardare queste olimpiadi, per una volta devo provare a supplicare i miei genitori a non guardarli
reshared this
Politica interna, europea e internazionale, informapirata ⁂ e Ciccio dell’Oca reshared this.
Gazzetta del Cadavere
in reply to informapirata ⁂ • • •Politica interna, europea e internazionale reshared this.
informapirata ⁂
in reply to Gazzetta del Cadavere • • •@gazzettadelcadavere ehm... Quella cinese, in realtà, l'abbiamo invitata già e dispone anche di qualche sede sparsa qua e là.
Quanto alla Russia, abbiamo fatto entrare l'armata rossa a Bergamo durante il Covid...
Quando si tratta di fare la figura dei servi, in Italia siamo sempre in prima linea 🤣
@smaurizi @politica
Politica interna, europea e internazionale reshared this.
Gazzetta del Cadavere
in reply to informapirata ⁂ • • •reshared this
Politica interna, europea e internazionale e informapirata ⁂ reshared this.
emama
Unknown parent • • •Piantedosi non smentisce: «“Non risulta”, ha detto, precisando che ogni delegazione protegge i propri partecipanti come ritiene opportuno. Ha sottolineato che, in caso di arrivo, gli agenti americani si coordinerebbero con le forze italiane, una prassi definita normale e non un’ingerenza. Piantedosi ha inoltre ricordato che simili misure di sicurezza sono comuni durante visite di alti rappresentanti stranieri.»
tv.alanews.it/2026/01/24/milan…
Milano-Cortina, Piantedosi: “Presenza Ice non confermata, prassi normale per la sicurezza” - alanews TV | Ultime notizie in tempo reale dall'Italia e dal mondo
Redazione (alanews TV | Ultime notizie in tempo reale dall'Italia e dal mondo)reshared this
Politica interna, europea e internazionale e informapirata ⁂ reshared this.
kuro 🇪🇺🔏
in reply to informapirata ⁂ • • •emama
Unknown parent • • •Credo dipenda dal diverso potere che il Presidente americano ha su i corpi di polizia. Le Agenzie federali dipendono dal Presidente. Altri corpi di polizia invece sono dipendenti dai rispettivi Stati. Non dobbiamo dimenticare che gli USA sono una federazione di Stati che mantengono una considerevole indipendenza.
it.wikipedia.org/wiki/Forze_di…
componente principale del sistema USA di giustizia criminale
Contributori ai progetti Wikimedia (Wikimedia Foundation, Inc.)Politica interna, europea e internazionale reshared this.
emama
Unknown parent • • •Cosa usavano ed usano è nel link del messaggio precedente
Politica interna, europea e internazionale reshared this.