L’errore 0xc0430001 in avvio è diventato uno dei grattacapi più chiacchierati per chi usa Windows 11, comparso subito dopo gli aggiornamenti cumulativi di giugno 2026. Dopo aver installato KB5094126 su Windows 11 24H2 e KB5093998 su Windows 11 23H2, parecchi utenti si sono ritrovati davanti a una schermata blu con quel codice piuttosto criptico. La cosa curiosa è che il sistema riprende a funzionare alla perfezione non appena si disattiva Secure Boot dal firmware UEFI.
In diversi casi, con BitLocker TPM più PIN, il sistema continua a chiedere regolarmente il PIN di sblocco. Attivando Secure Boot, invece, BitLocker pretende un nuovo inserimento del codice di ripristino e qui iniziano i problemi. All’inizio si è pensato a un bug di BitLocker, a una corruzione del Boot Manager o a qualcosa legato alle chiavi Secure Boot. Mettendo insieme centinaia di segnalazioni arrivate da ambienti aziendali e confrontandole con la documentazione, lo scenario che emerge è parecchio più complesso. Il bello è che Microsoft, al momento, non riconosce ancora il problema, almeno non per i sistemi già installati che si bloccano dopo gli aggiornamenti.
Cosa cambia con gli aggiornamenti di giugno 2026
Microsoft ha dato il via a una nuova fase della migrazione verso i certificati Secure Boot 2023. L’idea è sostituire piano piano i componenti storici della catena di fiducia che entra in gioco durante l’avvio del PC. Durante l’installazione vengono aggiornati diversi elementi: il Boot Manager Microsoft, i certificati Secure Boot, i componenti usati dal TPM, il database di verifica delle firme, i file presenti nella partizione EFI e il file boot.stl.
È proprio l’interazione tra questi pezzi e il firmware UEFI del produttore a far spuntare l’errore. La cosa importante da capire è che il codice non significa per forza che Windows si sia rotto, quindi niente reinstallazioni affrettate o ripristini totali. Nella maggior parte dei casi il sistema operativo è perfettamente integro, è Secure Boot che rifiuta uno degli elementi nella catena di avvio. Il primo passo è disattivare Secure Boot dal BIOS UEFI, così si recupera subito l’accesso a Windows 11.
I tre scenari più frequenti
Il primo riguarda il firmware UEFI incompatibile. Molti sistemi colpiti usano versioni precedenti all’introduzione dei nuovi certificati Secure Boot 2023. Qui disinstallare l’aggiornamento non serve, riattivare Secure Boot continua a generare l’errore, ma aggiornare il BIOS lo elimina all’istante. Capita spesso su notebook aziendali e workstation con firmware rilasciati mesi prima delle nuove policy. Sui sistemi non troppo vecchi l’aggiornamento del BIOS si può fare anche da Windows, con Secure Boot disattivato, usando l’utilità del produttore. Nelle note di rilascio troverete diciture tipo Security Update o Secure Boot.
Il secondo scenario chiama in causa la partizione EFI troppo piccola. Tanti PC aggiornati da Windows 10 hanno ancora partizioni da 100 MB, mentre le nuove procedure ne richiedono di più. Con comandi come diskpart, list partition e fsutil volume diskfree si verifica lo spazio. In parecchi casi la soluzione è stata espandere la partizione a 500 MB o addirittura 1 GB.
Il terzo riguarda i file OEM che saturano la partizione. Sui sistemi HP, ad esempio, la cartella EFIHPDEVFW contiene backup e immagini firmware, e rimuovendo i file di staging inutili si recuperano oltre 80 MB. Vale la pena controllare anche su ASUS, Dell e Lenovo.
C’è poi il caso particolare del file boot.stl, che Microsoft usa per validare l’ambiente di avvio. In molti sistemi colpiti il Boot Manager e i certificati risultavano aggiornati, mentre boot.stl era rimasto alla versione precedente, creando una catena di fiducia incoerente che Secure Boot rifiuta. Per le verifiche, il registro degli eventi di Windows è la fonte più utile, interrogabile con PowerShell da amministratore tramite Get-WinEvent filtrando per Secure Boot, Boot Manager e boot.stl.