Molti utenti vivono con una falsa sensazione di sicurezza: “Il mio disco è criptato con BitLocker, quindi qualsiasi copia dei miei dati sarà protetta”. In realtà, quando si effettua un backup a caldo (ovvero mentre il computer è acceso e il sistema operativo è operativo), questa protezione svanisce nel momento stesso in cui i dati vengono letti.

Ecco cosa accade “sotto il cofano” e perché il tuo backup potrebbe essere meno protetto di quanto pensi.

Il concetto di crittografia “Trasparente”

BitLocker è una tecnologia di crittografia Full Disk Encryption (FDE) che opera in modo trasparente. Cosa significa? Significa che finché il computer è spento, i dati sul disco sono un ammasso illeggibile di bit. Ma non appena inserisci il PIN o il modulo TPM sblocca l’unità all’avvio, BitLocker inizia a lavorare come un traduttore istantaneo.

Quando un programma (che sia Word, il tuo browser o un software di backup) chiede di leggere un file, BitLocker:

1. Prende il dato criptato dal disco fisico.
2. Lo decripta “al volo” nella memoria RAM.
3. Consegna il dato in chiaro al programma che lo ha richiesto.

Cosa succede durante un backup a caldo?

Quando avvii una procedura di backup mentre Windows è in esecuzione, il software di backup si comporta come un qualsiasi altro utente autorizzato. Chiede al sistema operativo: “Per favore, dammi tutti i bit contenuti in questo settore o in questo file”.

Poiché il disco è “sbloccato”, il sistema operativo esegue la decriptazione e consegna al software di backup i dati decriptati. Il risultato è che il file di immagine generato (il tuo backup sull’hard disk esterno) conterrà i tuoi documenti, le tue foto e le tue password esattamente come sono, senza alcuna protezione.

Un’arma a doppio taglio: Vantaggi e Rischi

Questa caratteristica non è necessariamente un errore di progettazione, ma un comportamento logico che presenta due facce:

🟢 Il Vantaggio: Flessibilità di Ripristino

Se il backup non è criptato con BitLocker, il ripristino è molto più semplice. Se la tua scheda madre dovesse rompersi (distruggendo il legame con il chip TPM originale), potresti riprendere i tuoi dati e portarli su un computer completamente diverso senza dover combattere con chiavi di ripristino complesse o hardware incompatibile. Il dato è “libero” e pronto per essere trasferito su un nuovo supporto.

🔴 Il Rischio: Vulnerabilità Totale

Il rischio è puramente legato alla sicurezza fisica. Se il tuo PC è protetto da BitLocker ma il tuo hard disk di backup USB è nell’armadio (o nella borsa del laptop) ed è stato creato “a caldo” senza ulteriori protezioni, quel disco è una falla di sicurezza enorme. Chiunque entri in possesso del disco di backup ha accesso totale ai tuoi dati, rendendo di fatto inutile la crittografia che hai sul computer principale.

Come riprendere il controllo?

Per evitare che quel contenitore di esperienze e fatti finisca nelle mani sbagliate, la soluzione non è smettere di fare backup, ma aggiungere uno strato di consapevolezza:

1. Criptare il contenitore: Se il software di backup lo permette, bisogna attivare la crittografia interna al programma (usando una password dedicata).
2. Criptare la destinazione: Usare BitLocker “To Go” sull’hard disk esterno prima ancora di iniziare il backup. In questo modo, anche se il software salva dati “in chiaro”, questi finiscono dentro un volume criptato.