Succede più spesso di quanto si pensi. Un notebook aziendale dimenticato in treno, lasciato in auto, smarrito in aeroporto. Il momento in cui te ne accorgi è uno di quelli che si ricordano: controlli le tasche, poi la borsa, poi ricontrolli. E mentre cerchi, nella testa parte già un’altra domanda — quella che conta davvero: i dati che ci sono dentro sono al sicuro?
La risposta che quasi tutti danno in quel momento è “sì, c’è BitLocker attivo”. Ed è una risposta che, in molti casi, non è più sufficiente.
Cosa fa BitLocker (e perché tutti pensano di essere protetti)
BitLocker è la soluzione di crittografia disco integrata in Windows. Quando è attivo, cifra l’intero contenuto del disco: senza la chiave corretta, i dati sono illeggibili. È uno strumento solido, incluso nelle versioni Pro ed Enterprise di Windows, e per anni è stato considerato sufficiente a proteggere i dispositivi aziendali in caso di furto o smarrimento.
Il problema non è BitLocker in sé. È il modo in cui viene configurato — e soprattutto il fatto che, nella maggior parte delle aziende, nessuno verifica che continui a funzionare nel modo previsto.
Il limite che cambia tutto: quando BitLocker non basta
Nella configurazione predefinita su molti dispositivi aziendali, BitLocker usa il TPM (Trusted Platform Module) del processore per sbloccare il disco automaticamente all’avvio — senza richiedere alcuna password aggiuntiva. Il vantaggio è la comodità: l’utente non deve inserire nulla, il dispositivo si avvia normalmente.
Lo svantaggio è che chiunque abbia accesso fisico al notebook può avviarlo. Se il sistema operativo ha vulnerabilità non patchate — e ricerche recenti hanno dimostrato che alcune falle permettono di aggirare la protezione BitLocker in condizioni specifiche — la crittografia disco da sola non è sufficiente a proteggere i dati.
Non è un problema teorico: è una superficie di attacco reale, documentata, che riguarda dispositivi Windows in produzione in migliaia di aziende italiane.
TPM+PIN: l’autenticazione a due fattori per i dispositivi
La configurazione consigliata per ambienti aziendali è TPM+PIN: il disco si sblocca solo se il chip TPM riconosce l’hardware e l’utente inserisce correttamente un PIN di avvio. Due fattori, due livelli di verifica.
Con TPM+PIN attivo, un notebook rubato o perso è inutilizzabile senza quel PIN — indipendentemente da vulnerabilità software o tecniche di attacco fisico al TPM. I dati restano cifrati e inaccessibili. La telefonata al reparto IT, in quel caso, ha un finale completamente diverso.
Il problema è che TPM+PIN non è la configurazione predefinita. Va abilitato esplicitamente, tramite policy di gruppo o strumenti di gestione centralizzata. E in molte aziende, semplicemente, non è stato fatto.
Il problema vero: la sicurezza che nessuno controlla
La configurazione di sicurezza di un dispositivo aziendale non è uno stato permanente. Cambia nel tempo: gli aggiornamenti vengono rimandati, le policy vengono modificate, i dispositivi escono dal dominio, le eccezioni si accumulano. Un notebook configurato correttamente oggi può avere una postura di sicurezza compromessa tra sei mesi — senza che nessuno se ne accorga.
Questo è il vero gap che molte aziende hanno: non l’assenza di strumenti di sicurezza, ma l’assenza di verifica che quegli strumenti continuino a funzionare. BitLocker attivo, ma in modalità solo-TPM. Antivirus installato, ma con definizioni ferme a tre mesi fa. Aggiornamenti critici in coda da settimane. Tutto visibile, se si guarda. Tutto invisibile, se non si guarda.
Monitoraggio continuo vs. configurazione statica
La differenza tra un’azienda esposta e una protetta, nella maggior parte dei casi, non sta negli strumenti che ha acquistato. Sta nel fatto che qualcuno controlla attivamente che quegli strumenti funzionino come previsto.
Il monitoraggio continuo dei dispositivi Windows — patch mancanti, configurazioni non conformi, anomalie nei log, stato della crittografia — permette di intercettare i problemi prima che diventino incidenti. Non è un’attività straordinaria: è manutenzione ordinaria della postura di sicurezza, esattamente come si fa con i server.
Gli endpoint — notebook, PC fissi, dispositivi remoti — sono spesso il vettore di attacco più trascurato nelle PMI. Sono fuori dalla rete aziendale per buona parte del tempo, gestiti da utenti che non sono tecnici, e raramente inclusi nei processi di audit sistematici.
Come verificare la postura di sicurezza dei dispositivi aziendali
Un audit della sicurezza degli endpoint aziendali parte da alcune verifiche di base:
- Stato BitLocker: tutti i dispositivi hanno la crittografia attiva? È configurata in modalità TPM+PIN o solo TPM?
- Patch e aggiornamenti: tutti i dispositivi hanno installato gli aggiornamenti di sicurezza critici? Ci sono sistemi fermi a versioni vulnerabili?
- Antivirus e EDR: le soluzioni di protezione sono attive, aggiornate e funzionanti su tutti gli endpoint?
- Dispositivi fuori inventario: ci sono notebook o PC aziendali non censiti o non gestiti centralmente?
- Accessi e privilegi: gli utenti hanno privilegi di amministratore locale? Questo è uno dei vettori più sfruttati dagli attaccanti.
Nessuna di queste verifiche richiede strumenti esotici o budget significativi. Richiede metodo, periodicità e qualcuno che se ne occupi sistematicamente.
Tornando al notebook smarrito: se TPM+PIN è attivo, se gli aggiornamenti sono in ordine, se la postura di sicurezza è monitorata regolarmente — quella telefonata al reparto IT ha una risposta tranquilla. I dati sono al sicuro, il dispositivo può essere remotamente disabilitato, l’incidente si chiude in pochi minuti.
Se invece la risposta è “beh, c’è BitLocker… credo” — è il momento di fare una verifica. Il team di BitAgorà può aiutarti a valutare la postura di sicurezza degli endpoint aziendali e a identificare le configurazioni da correggere prima che diventino un problema.