Cybersecurity Guide

Secure Boot e certificati Microsoft in scadenza nel 2026: cosa deve controllare un'azienda

Nel 2026 alcuni certificati Microsoft utilizzati da Secure Boot iniziano a scadere. Per molti utenti questo tema passerà inosservato. Per un'azienda, però, è un controllo da non rimandare.

7 min di lettura Edoardo Lobbiani

Nel 2026 alcuni certificati Microsoft utilizzati da Secure Boot iniziano a scadere. Per molti utenti questo tema passerà inosservato, perché nella maggior parte dei casi i computer continueranno ad accendersi e lavorare normalmente.

Per un'azienda, però, è un controllo da non rimandare. PC, notebook, workstation, server fisici e dispositivi aziendali con Windows dovrebbero essere verificati per evitare problemi futuri legati alla sicurezza dell'avvio, agli aggiornamenti firmware, a BitLocker o a configurazioni non più allineate.

Non si tratta di un'emergenza da panico, ma di una manutenzione preventiva importante.

In sintesi: cosa controllare

I certificati Secure Boot rilasciati originariamente nel 2011 stanno arrivando a scadenza. Microsoft sta distribuendo nuovi certificati 2023 tramite Windows Update, ma non tutti gli ambienti aziendali sono uguali.

In particolare, è consigliabile controllare:

  • se Secure Boot è attivo;
  • se Windows riceve correttamente gli aggiornamenti;
  • se il firmware BIOS/UEFI è aggiornato;
  • se le chiavi BitLocker sono state salvate;
  • se ci sono PC vecchi, server o dispositivi critici da verificare manualmente.

Per una PMI, questo controllo è particolarmente utile se ci sono più postazioni, sedi distaccate, PC di produzione, workstation tecniche o macchine ancora basate su Windows 10.

Cos'è Secure Boot, spiegato semplice

Secure Boot è una funzione di sicurezza presente nei computer moderni con firmware UEFI.

Il suo compito è controllare che, durante l'avvio del computer, vengano caricati solo componenti considerati affidabili. In pratica protegge una fase molto delicata: quella che avviene prima che Windows sia completamente avviato.

Questo è importante perché alcune minacce informatiche non cercano di colpire solo Windows "da acceso", ma possono provare a inserirsi nel processo di avvio del sistema. Secure Boot aiuta a impedire che software non autorizzato venga eseguito in quella fase.

Per l'utente finale è una funzione quasi invisibile. Per chi gestisce l'infrastruttura informatica di un'azienda, invece, è un elemento importante della sicurezza dei dispositivi.

Cosa cambia nel 2026

Microsoft ha comunicato che alcuni certificati Secure Boot emessi nel 2011 iniziano a scadere nel 2026. Per questo motivo è in corso la distribuzione dei nuovi certificati 2023.

Il punto fondamentale è questo: i dispositivi devono ricevere gli aggiornamenti necessari per continuare a essere protetti anche in futuro contro nuove minacce legate al processo di avvio.

Nella maggior parte dei casi gli aggiornamenti arriveranno automaticamente tramite Windows Update. Tuttavia, in ambito aziendale non è sempre così semplice.

Ci possono essere dispositivi che:

  • non ricevono regolarmente gli aggiornamenti;
  • hanno firmware BIOS/UEFI datati;
  • sono gestiti con criteri aziendali particolari;
  • usano BitLocker;
  • sono server fisici o workstation critiche;
  • hanno configurazioni non standard;
  • sono ancora basati su Windows 10 o hardware datato.

Per questo motivo è consigliabile fare un controllo preventivo, soprattutto prima di giugno 2026.

I PC smetteranno di funzionare?

No, il messaggio corretto non è "i PC si bloccheranno".

Un computer non aggiornato continuerà normalmente ad avviarsi. Il problema è diverso: potrebbe non ricevere correttamente le future protezioni collegate a Secure Boot, al Windows Boot Manager e agli aggiornamenti di sicurezza della fase di avvio.

Per una singola postazione domestica può sembrare un dettaglio tecnico. In azienda, invece, può diventare un rischio concreto, soprattutto se il dispositivo gestisce attività importanti: amministrazione, produzione, magazzino, accesso a gestionali, dati contabili o strumenti di lavoro condivisi.

Perché una PMI dovrebbe occuparsene

Molte piccole e medie imprese hanno un parco macchine cresciuto nel tempo: PC acquistati in anni diversi, notebook di vari produttori, qualche server fisico, postazioni usate solo per un gestionale, macchine di produzione o computer che "funzionano ancora" ma non vengono controllati da tempo.

In questi casi il rischio non è solo tecnico. Il rischio è operativo.

Un aggiornamento applicato senza verifiche può causare blocchi, richieste di chiavi BitLocker, problemi di avvio o difficoltà di ripristino. Al contrario, non aggiornare mai il firmware o il sistema può lasciare i dispositivi meno protetti.

La strada corretta è una via intermedia: controllare, pianificare e aggiornare in modo ordinato.

⚠ Attenzione a BitLocker prima di aggiornare firmware o Secure Boot

Un punto molto importante riguarda BitLocker, il sistema di cifratura dei dischi integrato in Windows.

BitLocker protegge i dati del computer, ma può richiedere la chiave di ripristino quando rileva modifiche considerate rilevanti a livello di avvio, firmware, TPM o configurazione di sicurezza.

Questo può accadere, ad esempio, dopo determinati aggiornamenti Windows, modifiche al BIOS/UEFI, aggiornamenti firmware o interventi sul processo di avvio.

Per questo motivo, prima di intervenire su Secure Boot, firmware, BIOS o aggiornamenti di sistema importanti, è fondamentale verificare che le chiavi di ripristino BitLocker siano state salvate correttamente.

BitLocker non ha una semplice funzione "password dimenticata".
Se la chiave di ripristino non è disponibile, l'accesso ai dati cifrati può diventare impossibile.

Abbiamo approfondito questo tema in un articolo dedicato agli aggiornamenti Windows 11 che possono portare alla richiesta della chiave BitLocker: leggi l'articolo su aggiornamenti Windows 11 e BitLocker →

In particolare, in azienda consigliamo di controllare sempre:

  • dove sono salvate le chiavi BitLocker;
  • se sono associate agli account corretti;
  • se sono recuperabili dall'amministratore IT;
  • se esiste una procedura documentata;
  • se le chiavi sono disponibili prima di aggiornare firmware, BIOS o impostazioni Secure Boot.

Questo controllo va fatto prima dell'intervento, non dopo.

Cosa può controllare subito un'azienda

Un primo controllo può partire da alcune verifiche semplici.

1. Verificare Windows Update

I dispositivi devono ricevere correttamente gli aggiornamenti di Windows. Se un PC non viene aggiornato da mesi, è già un segnale da approfondire.

2. Controllare Secure Boot

Su Windows è possibile verificare se Secure Boot è attivo dalla sezione di sicurezza del dispositivo. Dal 2026 Microsoft ha introdotto anche indicazioni più specifiche sullo stato degli aggiornamenti dei certificati Secure Boot nella app Sicurezza di Windows.

3. Verificare BIOS e firmware

Molti utenti aggiornano Windows, ma ignorano gli aggiornamenti firmware del produttore. In azienda è invece importante controllare anche BIOS/UEFI, soprattutto su notebook, workstation e server.

4. Salvare le chiavi BitLocker

Prima di qualunque modifica importante, le chiavi BitLocker devono essere recuperabili. Questo vale in particolare per dispositivi usati da amministrazione, direzione, reparto tecnico e produzione.

5. Fare un inventario dei dispositivi

Una PMI dovrebbe sapere quanti PC ha, quali versioni di Windows usano, quali sono critici e quali sono vecchi o fuori standard. Senza inventario, ogni aggiornamento diventa più rischioso.

Quali dispositivi meritano più attenzione

Non tutti i computer hanno la stessa priorità. In genere conviene partire da:

🖥️
Server fisici
⚙️
Workstation tecniche
💼
PC di amministrazione
💻
Notebook della direzione
📊
Postazioni collegate a gestionali
🏭
Computer in produzione o magazzino

Dispositivi con Windows 10
🔒
PC con BitLocker attivo
🔧
Macchine con firmware non aggiornato da anni

Questi sistemi dovrebbero essere controllati con più attenzione, evitando aggiornamenti casuali o non documentati.

Come dovrebbe muoversi un'azienda

La soluzione migliore è seguire un approccio ordinato:

  1. Creare un inventario dei dispositivi

    Mappare tutti i PC, notebook e server presenti: produttore, modello, versione di Windows, stato aggiornamenti.

  2. Identificare le macchine critiche

    Dare priorità ai dispositivi che gestiscono dati sensibili, processi produttivi o accessi ai sistemi aziendali.

  3. Verificare stato di Windows Update, Secure Boot e firmware

    Controllare che ogni dispositivo prioritario sia aggiornato e correttamente configurato.

  4. Controllare e salvare le chiavi BitLocker

    Prima di qualsiasi intervento, archiviare le recovery key in doppia copia (stampata + file su server/NAS).

  5. Testare gli aggiornamenti su pochi dispositivi

    Non aggiornare tutto il parco in una sola volta: iniziare con due o tre macchine non critiche e verificare il risultato.

  6. Pianificare gli interventi fuori dagli orari più delicati

    Evitare di aggiornare firmware e BIOS durante la giornata lavorativa su macchine in uso.

  7. Documentare cosa è stato aggiornato e cosa resta da fare

    Tenere traccia degli interventi eseguiti riduce il rischio di dimenticare dispositivi critici o di intervenire due volte sulla stessa macchina.

Questo riduce il rischio di blocchi improvvisi e permette di gestire la sicurezza in modo professionale.

Quando conviene chiedere supporto tecnico

Il controllo può diventare più delicato se l'azienda ha molti dispositivi, sedi diverse, server, BitLocker attivo o PC collegati a processi produttivi.

In questi casi è consigliabile affidarsi a un partner IT, soprattutto per evitare interventi improvvisati su firmware, BIOS, TPM e impostazioni di avvio.

Un tecnico può verificare lo stato reale del parco macchine, identificare i dispositivi più esposti e proporre un piano di aggiornamento graduale, senza interrompere l'operatività aziendale.

Il nostro servizio di controllo Secure Boot 2026

Per aiutare le aziende a prepararsi correttamente, proponiamo un controllo tecnico dedicato ai dispositivi Windows aziendali.

Il servizio può includere:

  • inventario di PC, notebook e server;
  • verifica dello stato di Windows Update;
  • controllo Secure Boot;
  • verifica BIOS/UEFI e firmware;
  • controllo presenza e recuperabilità delle chiavi BitLocker;
  • identificazione dei dispositivi critici;
  • report sintetico con priorità di intervento;
  • piano di aggiornamento consigliato.

L'obiettivo è semplice: sapere prima quali dispositivi sono a posto, quali richiedono attenzione e quali potrebbero creare problemi durante futuri aggiornamenti.

Conclusione: prevenire è più semplice di quanto sembri

La scadenza dei certificati Secure Boot non significa che i computer aziendali smetteranno improvvisamente di funzionare. Significa però che è arrivato il momento di controllare se i dispositivi sono aggiornati, gestiti correttamente e pronti per i nuovi requisiti di sicurezza.

Per una PMI, questo tipo di verifica è una forma di prevenzione: riduce i rischi, evita blocchi operativi e permette di pianificare gli interventi senza urgenze.

I PC e i server della tua azienda sono pronti per gli aggiornamenti Secure Boot 2026?

Possiamo effettuare un controllo tecnico e fornirti un report chiaro con le azioni consigliate per il tuo specifico parco macchine — senza impegno, senza tecnicismi.

📋 Richiedi il controllo dalla pagina di assistenza  |  📧