Un episodio recente ha riportato sotto i riflettori una questione che molti utenti Windows ignorano completamente: chi controlla davvero le chiavi di crittografia del proprio computer. Quando l’FBI ha chiesto a Microsoft di fornire le chiavi di ripristino BitLocker per alcuni portatili coinvolti in un’indagine, l’azienda di Redmond ha collaborato senza esitazioni. Il caso ha dimostrato che i meccanismi crittografici di Windows, pur proteggendo i dati da furti e smarrimenti, nascondono implicazioni ben più profonde che toccano la privacy e il controllo reale delle informazioni personali. La crittografia dovrebbe essere uno scudo impenetrabile. Serve a rendere incomprensibili i dati a chiunque non possieda la chiave di decrittazione, solitamente una password nota solo al proprietario. Anche se un malintenzionato riuscisse ad accedere fisicamente al disco rigido, estraendolo dal computer e collegandolo a un altro sistema, i file risulterebbero illeggibili. Almeno in teoria. Perché nella pratica, quando le chiavi finiscono sui server di qualcun altro, lo scudo presenta una falla progettuale.
BitLocker è da quasi vent’anni la tecnologia Microsoft che permette di attivare la cifratura completa delle unità di memorizzazione in Windows. Originariamente pensato per un’utenza consapevole, tipicamente aziendale o professionale, veniva attivato manualmente sulle edizioni Pro o superiori del sistema operativo. Con l’evoluzione di Windows, a partire da Windows 8 fino all’attuale Windows 11, Microsoft ha progressivamente automatizzato il processo: sui PC che accedono con un account Microsoft, la cifratura dell’unità di sistema viene abilitata senza richiedere alcuna conferma, anche nelle edizioni Home. E qui si annida il problema. La chiave di ripristino viene automaticamente salvata sui server Microsoft, all’interno dell’area personale dell’account utente. Dal punto di vista dell’usabilità, questa scelta ha una sua logica: se un aggiornamento hardware, un problema al firmware o un errore di sistema impediscono l’avvio corretto del computer, la chiave di recupero salvata nel cloud consente di ripristinare l’accesso ai dati cifrati senza alcuna perdita. Nessun dramma, nessun file perso per sempre. Ma questa comodità porta con sé un rovescio della medaglia che diventa ancor più rilevante se osservato dalla prospettiva della sicurezza e della riservatezza.
Una chiave custodita da terzi, per quanto protetta, è una chiave potenzialmente ottenibile da soggetti esterni tramite ordini giudiziari o altre forme di pressione. Microsoft ha dichiarato che le richieste governative di questo tipo sono numericamente limitate, nell’ordine di qualche decina all’anno, e che spesso non vanno a buon fine perché molti utenti non hanno effettivamente salvato la chiave sui server dell’azienda. Il caso dell’FBI dimostra però che, a differenza di altri fornitori che adottano modelli zero access, Microsoft è effettivamente in grado di leggere in chiaro la chiave di ripristino di qualunque utente che l’abbia memorizzata sul cloud. Come funziona tecnicamente questo meccanismo? BitLocker cifra il disco usando una chiave simmetrica chiamata Full Volume Encryption Key, la FVEK, che rappresenta il cuore crittografico del sistema. Questa chiave non viene mai memorizzata in chiaro sull’unità ed è a sua volta cifrata con l’ausilio di una Volume Master Key, la VMK. La VMK è il vero punto di controllo e può essere protetta in più modi: chip TPM, PIN, password, smart card e chiave di ripristino. Ogni metodo di protezione è semplicemente un’alternativa per decifrare la VMK.
La chiave di ripristino, quella famosa sequenza di 48 cifre, è quindi un protettore della VMK indipendente dal chip TPM e dallo stato del sistema, sempre accettato da BitLocker quando gli altri metodi non sono disponibili. Quando il sistema rileva un’anomalia, come un cambio hardware, un reset del TPM o una modifica al boot, il chip di sicurezza rifiuta di rilasciare la VMK. A quel punto BitLocker entra in modalità di ripristino e richiede la recovery key. Inserendo correttamente la chiave, la VMK viene decifrata, la FVEK sbloccata e il volume diventa accessibile. Il tema diventa ancora più delicato se inserito in un contesto in cui l’attenzione delle autorità verso giornalisti, attivisti o oppositori politici è percepita come crescente. In questo scenario, la distinzione tra sicurezza tecnica e tutela dei diritti civili si assottiglia: cifrare un disco non significa solo proteggersi da un ladro, ma anche preservare la confidenzialità delle proprie informazioni rispetto a richieste intrusive.
Per chi utilizza Windows e vuole mantenere il controllo esclusivo sulla propria chiave di recupero, le alternative esistono. Richiedono una scelta consapevole e qualche compromesso, ma sono percorribili. Il primo vincolo è rappresentato dall’edizione del sistema operativo: le edizioni Home supportano la cifratura solo in forma semplificata e subordinata all’account Microsoft. Le edizioni Pro, invece, offrono l’accesso completo a BitLocker e consentono di decidere dove e come conservare la chiave di recupero, inclusa la possibilità di non affidarla a servizi cloud esterni. L’aggiornamento a Windows 11 Pro rappresenta quindi il primo passo per chi desidera un controllo granulare. Una volta passati alla versione Pro, è possibile gestire BitLocker attraverso policy locali e impedire l’upload automatico delle chiavi sui server Microsoft. La chiave può essere salvata su un file locale, stampata su carta o memorizzata su una chiavetta USB custodita in un luogo sicuro. Questa configurazione richiede più attenzione e responsabilità da parte dell’utente, perché perdere la chiave di ripristino senza averla salvata altrove significa perdere definitivamente l’accesso ai dati cifrati.
Un’altra strategia consiste nell’imporre la richiesta di un PIN all’avvio del PC. Questa modalità rappresenta il livello più sicuro per utilizzare BitLocker: anche se qualcuno dovesse impossessarsi fisicamente del computer, senza il PIN corretto il sistema non si avvia e qualsiasi tentativo di bypass, hardware o software, viene neutralizzato. La configurazione richiede l’accesso alle policy di gruppo o al registro di sistema, operazioni non immediate ma ampiamente documentate online. Per chi preferisce non affidarsi a BitLocker o utilizza l’edizione Home senza voler aggiornare a Pro, esistono strumenti di crittografia di terze parti, sia gratuiti che a pagamento. Tra questi, VeraCrypt rappresenta una delle soluzioni più apprezzate: disponibile per Windows, macOS e Linux, è gratuito, open source e relativamente semplice da usare. Consente di crittografare intere unità, partizioni o creare contenitori cifrati all’interno dei quali custodire file sensibili. La chiave di decrittazione rimane sotto il controllo esclusivo dell’utente e non viene mai condivisa con server esterni.
VeraCrypt si distingue anche per la possibilità di crittografare unità esterne e chiavette USB, operazione non disponibile per gli utenti di Windows Home che vogliono utilizzare BitLocker. Basta selezionare l’unità, scegliere una password robusta e il software si occupa del resto. La documentazione online è esaustiva e accompagna l’utente passo dopo passo. Anche macOS offre un sistema di crittografia integrato più trasparente rispetto a Windows. Se possedete un Mac con chip di sicurezza T2 o uno dei processori Apple Silicon, il contenuto del disco di sistema è cifrato per impostazione predefinita. Per accedere al computer e ai dati protetti è necessaria la password dell’account. È possibile aggiungere un ulteriore livello di protezione attivando FileVault, uno strumento che rende le informazioni necessarie per decifrare l’unità ancora più difficili da ottenere, per esempio in caso di furto del dispositivo.
FileVault può essere attivato o disattivato in qualsiasi momento dalle Impostazioni di sistema, sezione Privacy e sicurezza. Durante la configurazione viene chiesto di specificare la modalità con cui sbloccare il disco di avvio in caso di password dimenticata: tramite iCloud o una chiave di recupero apposita. Anche in questo caso, la scelta dipende dal livello di fiducia che si ripone nei servizi cloud di Apple. Per le unità esterne su Mac, la crittografia può essere aggiunta direttamente da Finder facendo clic con il tasto destro del mouse e selezionando l’opzione apposita. Se l’opzione non appare, è necessario inizializzare e riformattare l’unità tramite Utility Disco, selezionando un formato compatibile con la crittografia come APFS cifrato e la Mappa partizione GUID.
