Blocco BitLocker da aggiornamenti Windows 11: cosa succede e cosa fare
Aggiornamenti recenti di Windows 11 — inclusi BIOS e firmware distribuiti automaticamente via Windows Update — stanno bloccando i PC protetti da BitLocker richiedendo una chiave di recupero a 48 cifre che la maggior parte degli utenti non ha mai salvato.
Alcuni aggiornamenti recenti di Windows 11 — inclusi aggiornamenti di BIOS e firmware distribuiti automaticamente tramite Windows Update — stanno causando il blocco dei computer protetti da BitLocker. Il sistema chiede una chiave di recupero a 48 cifre che la maggior parte degli utenti non ha mai salvato, rendendo il PC inaccessibile.
Il problema si ripete da anni e riguarda tutti i principali produttori (Lenovo, Dell, HP e altri). È fondamentale non installare aggiornamenti facoltativi, di driver o firmware senza prima consultare il proprio supporto tecnico.
1. Cosa sta succedendo
Negli ultimi anni Microsoft ha introdotto una serie di aggiornamenti legati al rinnovo dei certificati Secure Boot, necessari perché quelli attuali scadranno a partire da giugno 2026. Questi aggiornamenti modificano le assunzioni di fiducia nella catena di avvio (boot chain) del sistema operativo, e BitLocker — la funzione di crittografia del disco — risponde in modo conservativo chiedendo la recovery key.
Non si tratta di un episodio isolato: questo è il quarto caso significativo in meno di quattro anni. Il pattern è sempre lo stesso: un aggiornamento Windows modifica qualcosa nella catena di avvio, e BitLocker blocca l'accesso al disco richiedendo una chiave di recupero a 48 cifre che spesso gli utenti non hanno mai salvato.
Episodi documentati e aggiornamenti coinvolti:
| Periodo | KB / Aggiornamento | Sistemi colpiti |
|---|---|---|
| Ottobre 2025 | KB5066835 / KB5066791 | Windows 11 24H2, 25H2 e Windows 10 22H2. Colpisce in particolare i PC Intel con Modern Standby. |
| Aprile 2026 | KB5082063 / KB5083769 | Windows 11 e Windows Server 2025. Problema legato all'aggiornamento dei certificati Secure Boot CA 2023. |
| Maggio 2026 | Aggiornamento out-of-band | Microsoft ha rilasciato un aggiornamento di emergenza per correggere il problema, ma solo parzialmente e solo per Windows 11. |
Importante: a partire da Windows 11 24H2, BitLocker è abilitato per default su tutti i PC moderni, anche su installazioni pulite. La maggior parte degli utenti non lo sa e non ha mai salvato la recovery key. Se il PC si blocca senza che la chiave sia disponibile, i dati sul disco non sono recuperabili.
Lenovo ha ritirato la versione BIOS 1.29 (UEFI) / 1.24 (ECP) — codice R2IUJ05W — per il ThinkPad L14 Gen 5 (tipi 21L5, 21L6) a causa di un problema critico sul dispositivo. Questo aggiornamento era distribuito anche tramite Windows Update. Se un PC di questo modello ha ricevuto tale aggiornamento, potrebbe presentare il blocco BitLocker al prossimo riavvio.
2. Cosa NON deve fare l'utente
È fondamentale che gli utenti prestino attenzione ai seguenti comportamenti:
- Non installare aggiornamenti facoltativi (opzionali): quando Windows Update propone aggiornamenti contrassegnati come "Facoltativi" o "Driver e aggiornamenti firmware", non installarli senza prima contattare il supporto tecnico.
- Non installare aggiornamenti del BIOS/firmware tramite Windows Update: se compare un aggiornamento con la dicitura "Firmware", "System Firmware" o "BIOS", non confermarne l'installazione. Questi sono gli aggiornamenti a più alto rischio.
- Non usare app del produttore per aggiornamenti automatici: app come Lenovo Vantage, Dell Command Update, HP Support Assistant possono scaricare e installare aggiornamenti firmware in background. In caso di dubbio, contattare il supporto prima di autorizzare qualsiasi aggiornamento proposto da queste applicazioni.
- Non riavviare il PC durante o dopo un aggiornamento non pianificato: se compare la schermata di aggiornamento senza che l'utente l'abbia avviato consapevolmente, contattare il supporto tecnico prima di procedere con il riavvio.
Come riconoscere un aggiornamento rischioso: in Windows Update (Impostazioni → Windows Update → Opzioni avanzate → Aggiornamenti facoltativi) gli aggiornamenti firmware e driver sono elencati separatamente. Se compaiono voci che non siano "Aggiornamento qualitativo" o "Aggiornamento cumulativo", non installatele senza prima consultare il proprio tecnico di fiducia.
3. Come risolvere il problema in modo permanente
La soluzione definitiva consiste nell'applicare policy di sistema che impediscano a Windows Update di scaricare e installare automaticamente aggiornamenti di driver e firmware. Queste impostazioni, una volta configurate, proteggono il PC in modo stabile senza interferire con gli aggiornamenti di sicurezza ordinari.
Nei casi in cui i PC non siano collegati a un dominio aziendale, non è possibile distribuire queste impostazioni da remoto in modo centralizzato: è necessario accedere fisicamente (o tramite sessione remota assistita) a ciascun dispositivo. Un tecnico qualificato può applicare la configurazione in pochi minuti per PC.
Se la vostra azienda non dispone di un supporto IT strutturato, questo è il momento giusto per valutare un servizio di gestione endpoint: il punto 5 spiega come possiamo aiutarvi.
4. ⚠ Azione urgente: archiviare subito la chiave BitLocker
Riferimento ufficiale Microsoft:
support.microsoft.com — Eseguire il backup della chiave di ripristino di BitLocker
Come trovare e aprire la gestione BitLocker
Esistono due percorsi equivalenti per accedere alla gestione di BitLocker:
Percorso A — Pannello di controllo (funziona su tutte le edizioni Pro):
Premi i tasti Windows + R sulla tastiera, digita control e premi Invio. Vai in Sistema e sicurezza, poi Crittografia unità BitLocker, e clicca su Gestisci BitLocker accanto all'unità C:.
Percorso B — Impostazioni di Windows 11:
Apri Impostazioni, vai in Privacy e sicurezza, poi Crittografia dispositivo, e clicca su Gestisci BitLocker. Arriverai alla stessa schermata del Percorso A.
Passaggi per eseguire il backup della chiave
Una volta nella schermata di gestione BitLocker, cliccate su Esegui backup della chiave di ripristino. Apparirà una finestra con le opzioni di salvataggio. Dovete eseguire l'operazione due volte, scegliendo ogni volta un metodo diverso:
Nella finestra di backup selezionate Stampa il codice di ripristino. Stampate il foglio e conservatelo in azienda, in un posto sicuro e separato dal computer (es. cassetto chiuso a chiave, raccoglitore IT). Non conservatela insieme al PC: chi avesse accesso a entrambi potrebbe aggirare la crittografia. Annotate sul foglio il nome del computer e la data di salvataggio.
Suggerimento: sul foglio stampato sono riportati il nome del PC, l'ID della chiave e il codice a 48 cifre. Verificate che la stampa sia leggibile prima di archiviare il foglio.
Cliccate di nuovo su Esegui backup della chiave di ripristino e questa volta selezionate Salva in un file. Si aprirà una finestra di salvataggio: navigate fino alla cartella condivisa sul server o NAS aziendale e salvate il file lì. Il file si chiamerà automaticamente qualcosa come BitLocker Recovery Key [ID].txt.
Attenzione: non salvate il file sull'unità C: del PC stesso — è proprio quella unità ad essere cifrata da BitLocker, quindi in caso di blocco non sareste in grado di aprirlo. Il file deve stare su un dispositivo diverso: server, NAS, o in alternativa una chiavetta USB conservata in azienda.
Come verificare che il backup sia andato a buon fine
Dopo aver salvato entrambe le copie, verificate che il codice a 48 cifre sul foglio stampato e quello nel file TXT siano identici. Aprite il file con il Blocco note di Windows per leggerlo: al suo interno troverete l'ID della chiave e il codice completo su più righe.
5. Gestione endpoint professionale: come possiamo aiutarti
L'intervento manuale descritto in questo articolo è la misura d'emergenza necessaria nell'immediato. Sul medio termine, la soluzione strutturata al problema è l'adozione di una piattaforma RMM (Remote Monitoring & Management) in grado di gestire e archiviare automaticamente le chiavi BitLocker di tutti i dispositivi da un'unica console cloud — eliminando la necessità di interventi fisici su ogni PC e garantendo che le chiavi siano sempre disponibili, aggiornate e al sicuro.
Siamo in grado di offrirvi le migliori soluzioni disponibili per ambienti senza dominio aziendale: piattaforme RMM professionali configurate su misura, con gestione centralizzata delle chiavi BitLocker, aggiornamenti controllati e monitoraggio continuo dei dispositivi.
Hai bisogno di supporto sistemistico professionale in Lombardia?
Offriamo servizi di assistenza IT, gestione endpoint e consulenza sulla sicurezza informatica per aziende e professionisti. Se vuoi valutare come proteggere al meglio i tuoi dispositivi — anche senza un dominio Active Directory — contattaci per una consulenza senza impegno.