Settimane decisamente complicate per chi possiede alcuni tra i notebook premium HP più costosi sul mercato. Diversi utenti stanno segnalando blocchi all’avvio, schermate blu improvvise e sistemi finiti in un boot loop dopo l’installazione automatica di aggiornamenti firmware distribuiti tramite Windows Update. Il problema colpisce soprattutto workstation mobili e portatili professionali di fascia alta come HP ZBook Ultra G1a ed EliteBook X G1a, macchine che in certi allestimenti superano tranquillamente i 4.000 euro. La cosa ha fatto rumore perché non si tratta di driver secondari o utility opzionali: parliamo di aggiornamenti BIOS/UEFI classificati come “critici” e installati in automatico dal sistema operativo, senza che l’utente debba fare nulla.
Da almeno dieci anni Microsoft spinge i produttori a distribuire firmware e microcodice direttamente tramite Windows Update usando il framework UEFI Capsule Update. L’idea di fondo era semplice: aumentare la sicurezza dei PC consumer e aziendali senza costringere gli utenti a procedure manuali che nella maggior parte dei casi vengono ignorate. Il punto però è che il firmware resta uno degli elementi più delicati dell’intera architettura hardware. Quando qualcosa va storto a quel livello, il risultato non è un’app che smette di funzionare: il computer può proprio non avviarsi più.
Molti utenti considerano ancora il BIOS una specie di menu nascosto, quello dove si cambia l’ordine di boot o si attiva la virtualizzazione. In realtà il firmware UEFI gestisce una quantità enorme di componenti: inizializzazione della CPU, training della memoria DDR5, gestione energetica ACPI, Secure Boot, TPM, autenticazione firmware e interfacce PCIe. Secondo quanto emerso in diverse discussioni online, i problemi con alcuni sistemi HP sarebbero comparsi già nei mesi precedenti con sintomi differenti: ventole che accelerano senza motivo, freeze durante il POST, richieste ripetute di recovery BitLocker e avvii impossibili da completare. HP ha confermato di aver avviato verifiche interne, ma per molti utenti il danno era già stato fatto.
Quando Windows scarica un aggiornamento firmware, il pacchetto usa generalmente il meccanismo UEFI Capsule. Il firmware viene scritto in una partizione EFI speciale e installato durante il riavvio, prima del successivo caricamento del sistema operativo. Il processo include controlli di integrità, verifica della firma crittografica e protezioni anti rollback. Ma è capitato più volte, anche nelle migliori famiglie, che un problema introdotto nel microcodice oppure una cattiva gestione delle tabelle ACPI compromettesse l’intero avvio. Le versioni incriminate dei firmware citate nelle segnalazioni sono la 01.04.03 e la 01.04.05 per HP ZBook Ultra G1a, mentre su EliteBook X G1a compaiono le release 01.03.11 e 01.05.00. Diversi utenti raccontano che il notebook si blocca completamente durante la sequenza iniziale, senza arrivare nemmeno alla schermata di login di Windows.
Il ruolo di BitLocker e dei certificati UEFI Microsoft
Una parte delle anomalie osservate sui notebook HP sembra collegata ai nuovi certificati UEFI Microsoft distribuiti per sostituire le versioni legacy risalenti al 2011. HP stessa ha pubblicato documentazione tecnica relativa a sistemi intrappolati in recovery BitLocker dopo aggiornamenti BIOS rilasciati ad aprile 2026.
Il meccanismo è parecchio delicato. BitLocker lega la chiave di cifratura a misurazioni precise della piattaforma hardware registrate nel chip TPM. Se il firmware modifica certi parametri UEFI o aggiorna componenti Secure Boot, il TPM interpreta la variazione come potenzialmente sospetta e richiede l’inserimento della chiave di ripristino. Il problema nasce quando il firmware aggiorna in modo incompleto i certificati Microsoft 2023 oppure lascia il sistema in uno stato incoerente. HP cita esplicitamente chiavi del registro di sistema Windows come UEFICA2023Status e UEFICA2023Error per diagnosticare update falliti dei certificati Secure Boot.
In pratica, alcuni notebook entrano in una sequenza continua di recovery BitLocker anche dopo l’inserimento corretto della chiave di ripristino. A quel punto chi usa il portatile resta bloccato in una situazione difficile da interpretare: il supporto di memorizzazione è integro, Windows esiste ancora, ma il firmware non completa la catena di fiducia necessaria all’avvio.
Recupero del sistema: cosa funziona davvero
Le procedure di ripristino disponibili dipendono molto dal livello del danno. Se il notebook entra ancora nel menu UEFI, spesso conviene disabilitare temporaneamente gli update firmware automatici avviati dal sistema operativo. Alcuni utenti sono riusciti a eseguire un rollback usando le funzioni di BIOS Recovery integrate da HP.
Quando invece il firmware non completa nemmeno il POST, le opzioni diventano parecchio più limitate. In diversi modelli business HP esiste una modalità di recupero tramite rete o USB che permette di caricare un’immagine firmware pulita da chiavetta FAT32 o da rete Ethernet.
Va detto che anche il ripristino firmware non sempre risolve tutto: se il chip TPM resta sincronizzato con misurazioni precedenti oppure se il Secure Boot Database mantiene chiavi incoerenti, BitLocker può continuare a bloccare l’avvio. In questi casi spesso serve cancellare le chiavi TPM e ricostruire la catena di fiducia, un’operazione delicata che, senza backup delle chiavi di ripristino, rischia di compromettere definitivamente l’accesso ai dati.