Chi negli ultimi tempi ha visto comparire avvisi su Windows e sui certificati Secure Boot in scadenza non è vittima di un allarme esagerato. Il problema è concreto e riguarda parecchi computer. Alcuni PC non hanno ancora ricevuto gli aggiornamenti necessari, e non li riceveranno affatto se non si interviene manualmente. C’è poi un secondo intoppo, meno intuitivo. Anche preparando la macchina nel modo giusto, i nuovi certificati potrebbero non arrivare subito.
Vale la pena capire come funziona la faccenda. All’accensione, ogni computer carica il codice necessario per far partire Windows. In passato questa sequenza di avvio non era protetta, e gli hacker sfruttavano quella libertà per creare malware capaci di modificare il sistema operativo sfuggendo persino agli antivirus. Microsoft ha introdotto Secure Boot proprio per bloccare attacchi di questo tipo. Il paragone più semplice è quello di un posto di blocco, dove un agente controlla un documento e lascia passare solo chi risulta nell’elenco degli approvati. Sul PC, i certificati di sicurezza di Secure Boot fanno da elenco, mentre la firma digitale di driver e programmi rappresenta il documento da verificare.
Alcuni computer usano ancora i vecchi certificati emessi nel 2011. Tre dei quattro esistenti sono scaduti durante l’ultima settimana piena di giugno 2026. L’ultimo scadrà a ottobre 2026. Per una protezione completa servono i certificati più recenti, quelli del 2023.
Come capire se i certificati sono scaduti
Un PC continua a partire anche senza certificati aggiornati, quindi il fatto che si accenda regolarmente non significa nulla. Molti computer hanno ricevuto l’aggiornamento automatico ai certificati del 2023, ma non tutti. Se la macchina non è tra queste, Windows dovrebbe segnalare il problema con un’icona a forma di scudo blu nell’area di notifica, con un segno giallo o rosso.
Nessun avviso in vista? Meglio controllare a mano. Basta aprire l’app Sicurezza di Windows, scegliere Sicurezza del dispositivo e osservare l’icona accanto alla voce Secure Boot. Un segno di spunta verde vuol dire che va tutto bene, mentre un indicatore giallo o rosso significa che serve agire.
Tre cose da fare subito
Davanti a un avviso giallo o rosso, il primo passo è verificare se il PC può ricevere gli aggiornamenti automatici. Microsoft sta ampliando la distribuzione dei nuovi certificati, ma non può inviarli se il firmware è troppo datato.
Il punto chiave è aggiornare UEFI/BIOS all’ultima versione disponibile. UEFI è il software che gestisce l’avvio del computer, erede del vecchio BIOS, termine che molti continuano a usare per abitudine. Se questo firmware sulla scheda madre non è abbastanza recente, Microsoft non può aggiornare i certificati in automatico. Per i PC di marca come Dell, Lenovo o HP conviene cercare la pagina di supporto del modello, dove spesso strumenti diagnostici automatici analizzano il sistema e aiutano a installare la versione più recente. Per un computer assemblato serve invece individuare la versione attuale, magari con un’app come HWiNFO oppure entrando nel firmware all’avvio, e poi confrontarla con l’elenco delle revisioni sul sito del produttore della scheda madre. Se il firmware è molto vecchio, meglio aggiornare a piccoli passi anziché saltare direttamente all’ultima versione, per evitare problemi.
Nel frattempo serve più prudenza online. Certificati non aggiornati non sono un pericolo immediato, ma col tempo il PC diventa più esposto, soprattutto vista la velocità con cui l’intelligenza artificiale accelera scoperta di vulnerabilità e sviluppo di malware. Attenzione quindi ai siti visitati, alle estensioni del browser installate e ai programmi scaricati, perché siti malevoli, estensioni compromesse e app piratate possono nascondere codice dannoso.
Terzo punto, tenere aggiornato l’antivirus. Un software di sicurezza dentro Windows fatica a individuare bootkit annidati nel processo di avvio, quindi non ci si può affidare ad esso per rimuovere un’infezione già presente. Definizioni virali aggiornate però aiutano a bloccare quel codice prima che si installi.
E se il PC non può ricevere gli aggiornamenti
La decisione non spetta a Microsoft ma ai produttori dell’hardware, che devono rilasciare firmware capace di supportare i nuovi certificati. Se non lo fanno, non c’è molto da fare. Le guide dei produttori di PC preassemblati o le pagine di supporto dei componenti chiariscono in genere la politica adottata, altrimenti conviene cercare nei forum di assistenza.