Dopo il Patch Tuesday di aprile 2026, diversi utenti si sono ritrovati davanti a una schermata imprevista: la richiesta della chiave di ripristino BitLocker all’avvio del proprio PC. Un comportamento che non dovrebbe verificarsi in condizioni normali e che, soprattutto negli ambienti lavorativi, ha generato parecchia confusione e una valanga di richieste di assistenza.
Il problema riguarda sia Windows 11 (con le patch KB5083769 e KB5082052) sia Windows 10 (con la KB5082200), oltre ad alcune versioni di Windows Server. E non è limitato alle sole configurazioni aziendali gestite: anche macchine consumer e PC di professionisti che lavorano in autonomia sono stati coinvolti. BitLocker, il sistema di cifratura integrato nei sistemi operativi Microsoft fin dai tempi di Windows Vista, protegge milioni di dispositivi grazie alla sua integrazione con il chip TPM. Quando qualcosa cambia nel processo di avvio e il TPM percepisce una discrepanza, scatta la richiesta del codice di ripristino. Ed è esattamente quello che è successo.
Perché il TPM blocca l’avvio dopo l’aggiornamento
La radice tecnica del problema sta nell’interazione tra BitLocker e i registri PCR del TPM, ovvero quelle aree protette del chip che memorizzano lo stato crittografico del sistema durante la fase di boot. Normalmente Windows gestisce tutto in automatico, scegliendo quali registri PCR utilizzare per verificare l’integrità dell’avvio. Quando però è attiva una configurazione manuale della policy “Configura il profilo di convalida della piattaforma TPM per configurazioni firmware UEFI native”, le cose possono complicarsi parecchio.
Il punto critico è questo: l’aggiornamento di aprile introduce un nuovo Windows Boot Manager firmato con il certificato Microsoft UEFI CA 2023. Se il sistema passa a questa nuova catena di fiducia senza che i binding PCR di BitLocker vengano aggiornati di conseguenza, il TPM rileva un’incongruenza e attiva la modalità di ripristino.
Non tutti i PC sono colpiti, però. La condizione si verifica quando il disco è cifrato con BitLocker, il dispositivo usa Secure Boot e il binding al registro PCR7 risulta “Non associato” (verificabile digitando msinfo32 nella barra di ricerca di Windows e aprendo l’utility come amministratore). A questo si aggiunge la presenza del certificato UEFI CA 2023 nel database delle firme Secure Boot, che crea una sorta di finestra di transizione durante la quale i valori PCR cambiano.
Microsoft precisa che la richiesta della chiave di ripristino BitLocker si presenta una sola volta: inserito il codice corretto, il sistema aggiorna i binding e torna a funzionare normalmente. Il che è rassicurante, ma solo fino a un certo punto. In ambienti con centinaia di postazioni, anche un singolo prompt imprevisto può bloccare attività critiche. E non sempre chi si trova davanti a quella schermata ha la chiave di ripristino a portata di mano, specialmente quando la gestione passa da Active Directory o Azure AD. Molti amministratori, tra l’altro, potrebbero inizialmente scambiare l’evento per un tentativo di manomissione del boot, quando in realtà il TPM sta facendo esattamente quello per cui è stato progettato.