C’è una cosa che molti utenti ignorano allegramente: Secure Boot Windows non è una di quelle funzioni misteriose messe lì per fare scena nel BIOS/UEFI. È uno dei controlli di sicurezza che interviene prima ancora che Windows inizi davvero a caricarsi. In pratica, cerca di impedire che software non autorizzato, bootloader modificati o codice malevolo si infilino nella fase di avvio del PC, cioè in uno dei momenti più delicati dell’intero sistema.
E ora arriva la parte divertente, si fa per dire: Microsoft sta aggiornando i certificati usati da Secure Boot perché quelli storici, introdotti nel 2011, arrivano a scadenza nel 2026. Sì, anche i certificati “invecchiano”. Non fanno rumore, non mandano notifiche drammatiche e non compaiono con una schermata rossa lampeggiante, ma quando diventano obsoleti possono lasciare il sistema in una condizione di sicurezza non più ideale.
Cos’è Secure Boot Windows
Secure Boot Windows è una funzione di sicurezza basata su UEFI, il sistema moderno che ha sostituito il vecchio BIOS nella maggior parte dei computer.
Il suo compito è abbastanza semplice da spiegare: durante l’avvio del PC controlla che i componenti caricati siano firmati e considerati attendibili. Se qualcosa non torna, teoricamente dovrebbe impedire l’avvio di codice sospetto.
Tradotto in italiano da officina informatica: prima che Windows parta, Secure Boot controlla che nessuno stia cercando di infilarsi sotto il cofano con una chiave inglese arrugginita.
Questa funzione è particolarmente importante contro alcune categorie di malware avanzati, come bootkit e rootkit, che cercano di caricarsi prima del sistema operativo. E quando un malware parte prima di Windows, poi spiegargli con gentilezza che non è gradito diventa un po’ complicato.
Perché i certificati Secure Boot sono importanti
Secure Boot si basa su certificati e chiavi crittografiche. Questi certificati servono a stabilire quali componenti possono essere considerati affidabili durante la fase di avvio.
Microsoft ha indicato che alcuni certificati storici del 2011 arrivano a scadenza nel 2026. Per questo motivo sono stati introdotti nuovi certificati, tra cui quelli della generazione 2023, pensati per sostituire quelli ormai prossimi alla fine del loro ciclo di vita.
Il punto non è che il PC smetta improvvisamente di accendersi il giorno dopo la scadenza. Non è il millennium bug con il cappellino UEFI. Il problema è più sottile: un dispositivo non aggiornato potrebbe continuare a funzionare, ma restare in una condizione di sicurezza degradata.
E in azienda questa è esattamente la frase che nessuno vuole sentire: “Funziona ancora, però è meno sicuro”. Che è un po’ come dire: “La porta si chiude, ma la serratura è decorativa”.
Secure Boot Windows e aggiornamenti: perché non bisogna ignorarli
Gli aggiornamenti di Windows non servono solo a spostare pulsanti, cambiare icone e ricordarci che Microsoft ama profondamente interrompere il lavoro nei momenti peggiori.
In questo caso, gli aggiornamenti servono anche a distribuire nuovi certificati Secure Boot ai dispositivi compatibili. Per molti PC moderni, soprattutto quelli con Windows 11 e firmware aggiornato, il processo dovrebbe avvenire tramite Windows Update.
Il problema nasce con alcuni dispositivi più vecchi, macchine aziendali particolari, PC con firmware non aggiornato, sistemi gestiti tramite policy restrittive o ambienti dove gli aggiornamenti vengono rimandati all’infinito perché “tanto funziona”.
Funziona, certo. Anche una gomma liscia continua a girare. Poi però arriva la curva.
Come verificare se Secure Boot è attivo
Per controllare se Secure Boot Windows è attivo, il metodo più semplice è usare le informazioni di sistema.
Metodo 1: Informazioni di sistema
Premere Win + R, digitare:
msinfo32
e premere Invio.
Nella finestra “Informazioni di sistema” bisogna cercare la voce:
Stato avvio protetto
Se il valore è “Attivato”, Secure Boot è attivo.
Se il valore è “Disattivato”, la funzione non è attiva.
Se invece compare qualcosa come “Non supportato”, il PC potrebbe essere configurato in modalità legacy, avere un firmware non compatibile oppure usare impostazioni UEFI non corrette.
Metodo 2: PowerShell
È possibile anche aprire PowerShell come amministratore ed eseguire:
Confirm-SecureBootUEFI
Se il risultato è:
True
Secure Boot è attivo.
Se il risultato è:
False
Secure Boot è disattivato.
Se compare un errore, il sistema potrebbe non essere avviato in modalità UEFI oppure non supportare correttamente la funzione.
Quando controllare BIOS o UEFI
Non sempre basta Windows Update. In alcuni casi bisogna controllare anche il BIOS/UEFI del computer.
Conviene farlo soprattutto quando:
- il PC è aziendale e fa parte di un parco macchine gestito;
- il computer è vecchio ma ancora in uso;
- Secure Boot risulta disattivato senza un motivo chiaro;
- il sistema è stato convertito, reinstallato o migrato nel tempo;
- il firmware non viene aggiornato da anni;
- il PC usa configurazioni particolari, dual boot o sistemi operativi non standard;
- Windows Update non riesce a installare correttamente aggiornamenti legati alla sicurezza.
In questi casi è bene verificare sul sito del produttore del PC o della scheda madre se esistono aggiornamenti firmware disponibili.
Attenzione però: aggiornare BIOS/UEFI non è come cambiare lo sfondo del desktop. Va fatto con criterio, alimentazione stabile e file corretto. Il metodo “scarico il primo aggiornamento che trovo e vediamo cosa succede” è una splendida ricetta per trasformare un computer in un fermacarte con le ventole.
Secure Boot non sostituisce antivirus e aggiornamenti
Secure Boot è importante, ma non è una bacchetta magica.
Protegge una fase specifica: l’avvio del sistema. Non sostituisce l’antivirus, non corregge password deboli, non impedisce all’utente di scaricare “fattura_urgente.exe” da un’email scritta in un italiano da traduttore automatico ubriaco.
Per avere una protezione sensata servono più livelli:
- Windows aggiornato;
- firmware aggiornato;
- antivirus o Microsoft Defender attivo;
- backup regolari;
- account con privilegi corretti;
- attenzione a email, allegati e software scaricati;
- controllo periodico delle impostazioni di sicurezza.
Secure Boot è un pezzo del puzzle. Importante, ma pur sempre un pezzo.
Cosa devono fare le aziende
Per le aziende il discorso è ancora più delicato. Un singolo PC domestico non aggiornato è un problema. Un parco macchine aziendale con decine di dispositivi non verificati è una collezione di piccoli problemi che prima o poi decidono di fare squadra.
Le aziende dovrebbero:
- verificare quali PC hanno Secure Boot attivo;
- controllare lo stato degli aggiornamenti Windows;
- identificare dispositivi vecchi o fuori supporto;
- verificare eventuali aggiornamenti BIOS/UEFI;
- evitare di rimandare indefinitamente gli update di sicurezza;
- documentare le macchine non compatibili o da sostituire;
- prestare attenzione ai PC usati per amministrazione, contabilità, VPN, gestionali e accessi remoti.
Il concetto è semplice: non basta che il computer si accenda. Deve accendersi in modo sicuro.
Windows 10, Windows 11 e dispositivi vecchi
Windows 11 richiede Secure Boot tra i requisiti di sicurezza, anche se non sempre deve essere necessariamente attivo in ogni configurazione pratica. Windows 10 invece è presente su moltissimi PC più vecchi, alcuni dei quali potrebbero avere firmware datati o configurazioni ereditate da anni di aggiornamenti, clonazioni e “non toccare niente che funziona”.
Il problema è che nel 2026 non siamo più nel 2011. I sistemi cambiano, le minacce cambiano e anche i certificati devono essere sostituiti.
Continuare a usare dispositivi vecchi senza aggiornamenti firmware e senza supporto di sicurezza significa accettare un rischio crescente. Poi magari va tutto bene. Come attraversare la strada bendati: non è detto che finisca male subito, ma non è esattamente una strategia IT.
Conclusione
Secure Boot Windows è una funzione che molti utenti non vedono, non conoscono e quindi tendono a ignorare. Eppure lavora in una fase fondamentale: l’avvio del PC.
L’aggiornamento dei certificati Secure Boot da parte di Microsoft non è un dettaglio burocratico. Serve a mantenere affidabile il meccanismo con cui il sistema decide cosa può essere caricato prima di Windows.
Per la maggior parte degli utenti sarà sufficiente tenere Windows aggiornato. Per aziende, tecnici e dispositivi meno recenti, invece, conviene fare un controllo più attento: Secure Boot attivo, Windows aggiornato, firmware non abbandonato nel paleolitico digitale.
Perché sì, gli aggiornamenti a volte rompono le scatole. Ma un PC che si avvia con una sicurezza vecchia di quindici anni può romperle molto di più.