Microsoft ha fornito all’FBI chiavi BitLocker dal cloud: cosa significa per la tua sicurezza

Un recente caso giudiziario legato a una presunta frode sui sussidi di disoccupazione pandemica a Guam ha messo sotto i riflettori il modo in cui Microsoft gestisce le chiavi di recupero di BitLocker, il sistema di cifratura integrato in Windows. Secondo i documenti giudiziari e le ricostruzioni di più testate, l'FBI ha ottenuto l'accesso ai dati cifrati su tre laptop grazie alle chiavi BitLocker fornite da Microsoft in seguito a un mandato di perquisizione federale emesso nel 2025.

Il caso Guam: tre laptop cifrati e un mandato all'indirizzo di Microsoft

L'episodio al centro dell'attenzione riguarda un'indagine su un presunto schema di appropriazione indebita dei fondi del programma Pandemic Unemployment Assistance a Guam, territorio statunitense nel Pacifico. Nel corso dell'inchiesta, gli investigatori federali hanno sequestrato tre portatili protetti con cifratura BitLocker e, non disponendo degli strumenti per forzare direttamente l'algoritmo di cifratura, si sono rivolti a Microsoft chiedendo le chiavi di recupero associate a quei dispositivi.

Un mandato di perquisizione è stato notificato all'azienda, che ha poi fornito le chiavi archiviate nei propri sistemi, permettendo così agli agenti di accedere ai dati presenti sui dischi cifrati. Nei materiali condivisi nelle fasi iniziali del processo l'avvocato di una delle persone coinvolte ha dichiarato che il contenuto dell'hard disk fornito dall'accusa includeva riferimenti alle chiavi BitLocker messe a disposizione da Microsoft, confermando di fatto il ruolo del produttore di Windows nel superare la barriera della cifratura.

La posizione ufficiale di Microsoft sulle richieste di chiavi BitLocker

In una dichiarazione rilasciata a Forbes un portavoce di Microsoft ha confermato che l'azienda può fornire chiavi di recupero BitLocker alle forze dell'ordine, a condizione che le chiavi siano effettivamente archiviate nei sistemi Microsoft e che venga presentato un valido provvedimento legale. Il portavoce ha aggiunto che la società riceve circa 20 richieste di questo tipo all'anno, specificando però che spesso le richieste non possono essere soddisfatte perché molti utenti non hanno salvato le chiavi nel cloud.

Microsoft ha sottolineato che il meccanismo di recupero remoto è pensato come funzione di convenienza per evitare la perdita definitiva di dati nel caso in cui l'utente dimentichi la password o non riesca più ad accedere al dispositivo. Allo stesso tempo, l'azienda riconosce che questa scelta comporta un rischio di "accessi indesiderati", motivo per cui ribadisce che gli utenti sono nella posizione migliore per decidere dove e come gestire le proprie chiavi di cifratura.

Come funziona BitLocker e perché le chiavi nel cloud sono cruciali

BitLocker è il sistema di cifratura a dell'intero disco di sistema integrato in Windows, disponibile su molte configurazioni moderne di PC e frequentemente attivo in modo predefinito, in particolare su Windows 10 e Windows 11 in alcune edizioni consumer. La cifratura protegge i dati memorizzati sul disco in caso di furto o smarrimento del dispositivo, richiedendo una chiave o credenziale valida per poter decifrare e leggere il contenuto.

Gli utenti possono scegliere di conservare la chiave di recupero localmente o su supporti di loro controllo, ma nella configurazione raccomandata Microsoft propone il salvataggio della chiave nel proprio account cloud per semplificarne il recupero. Questo modello di "key escrow" consente però, a fronte di un ordine del tribunale, di consegnare le chiavi alle autorità competenti, rendendo possibile l'accesso ai dati cifrati senza dover attaccare direttamente l'algoritmo crittografico, che in più casi passati è risultato resistente agli strumenti forensi a disposizione delle agenzie governative.

Le preoccupazioni di esperti e associazioni per la privacy

L'emersione di questo caso ha alimentato le critiche di esponenti del mondo politico e della comunità della sicurezza, preoccupati per le implicazioni sulla privacy degli utenti. Il senatore statunitense Ron Wyden ha contestato l'idea che le aziende tecnologiche vendano prodotti strutturati in modo da poter consegnare le chiavi di cifratura dei clienti, sostenendo che ciò consente alle agenzie di ottenere accesso a un insieme molto ampio di informazioni personali con un singolo provvedimento.

Esperti di crittografia come Matthew Green hanno evidenziato anche il rischio che eventuali compromissioni dell'infrastruttura cloud di Microsoft possano esporre su larga scala le chiavi di recupero archiviate, pur ricordando che per sfruttarle sarebbe comunque necessario disporre del supporto fisico cifrato. Organizzazioni per i diritti civili, tra cui l'ACLU, hanno definito potenzialmente pericolosa la conservazione remota delle chiavi, invitando le aziende a studiare soluzioni in cui nemmeno il fornitore del servizio possa accedere alle chiavi degli utenti.

Cosa possono fare gli utenti BitLocker

Il caso Guam non modifica le basi tecniche della cifratura BitLocker, ma mette in luce le conseguenze della scelta di archiviare o meno la chiave di recupero nel cloud del fornitore. Per gli utenti sensibili ai temi della riservatezza, una prima misura possibile è verificare se la chiave BitLocker del proprio dispositivo sia stata caricata sull'account Microsoft e valutare se mantenerla in cloud o conservarla solo in locale, su supporti controllati direttamente.

In parallelo, il dibattito pubblico sta spingendo verso modelli in cui le chiavi siano crittografate end-to-end e il provider non possa tecnicamente fornirle alle autorità, come già avviene in alcuni servizi di backup cifrato proposti da altri grandi operatori. Nel frattempo, il comportamento di Microsoft resta vincolato alla combinazione tra impostazioni scelte dall'utente e quadro normativo vigente nei paesi in cui vengono emessi i provvedimenti giudiziari.