Cos'è Secure Boot? Come blocca il malware a livello di boot (2026)
In breve: Secure Boot è una funzione del firmware UEFI che controlla la firma digitale di tutto ciò che tenta di avviarsi quando accendi il computer, e rifiuta di caricare qualsiasi cosa non firmata con una chiave attendibile. Il suo unico compito è fermare il malware che si carica prima del sistema operativo, il tipo che altrimenti è quasi impossibile da rilevare. Non è una difesa completa da sola, ma chiude una porta che un tempo era spalancata.
Cos’è davvero Secure Boot
Quando accendi un PC moderno, il firmware UEFI viene eseguito per primo, poi passa il controllo a un bootloader, che carica il kernel del sistema operativo. Secure Boot inserisce un controllo in questa catena: prima che il firmware esegua il bootloader, e prima che il bootloader esegua il kernel, verifica una firma crittografica rispetto a un database di chiavi attendibili memorizzate nel firmware. Se il codice è firmato correttamente, viene eseguito. Se non è firmato o è stato manomesso, Secure Boot lo blocca.
In altre parole, Secure Boot applica una regola semplice: solo il software che qualcuno di fidato ha garantito può avviare la tua macchina.
Perché è importante: fermare i bootkit
Il motivo per cui vale la pena averlo si riduce al tempismo. Il malware che si carica all’avvio, un bootkit o un rootkit a livello di boot, viene eseguito prima del sistema operativo e prima del tuo antivirus. Una volta che ha il controllo così presto, può nascondersi da tutto ciò che si carica in seguito, ed è esattamente per questo che le infezioni a livello di boot sono così difficili da rilevare e rimuovere. Consulta la nostra spiegazione su cos’è un rootkit per capire quanto possa diventare grave.
Secure Boot affronta il problema alla radice: se il codice di boot manomesso o non firmato non supera il controllo della firma, non viene mai eseguito. Questa è una posizione molto più forte rispetto a cercare di trovarlo e rimuoverlo dopo che si è già caricato.

Come funziona sotto il cofano
Secure Boot si basa su un piccolo insieme di chiavi ed elenchi conservati nel firmware:
- Platform Key (PK) e Key Exchange Keys (KEK) stabiliscono chi è autorizzato a gestire le impostazioni di fiducia.
- Il database db (consentito) contiene le firme e le chiavi del software autorizzato a essere eseguito.
- Il database dbx (vietato) elenca le firme revocate, per esempio bootloader in seguito rivelatisi vulnerabili.
A ogni passo dell’avvio, la firma del componente viene verificata rispetto a db e dbx. Sulla maggior parte dei PC consumer le chiavi attendibili provengono da Microsoft e dal produttore dell’hardware, ed è per questo che Secure Boot è attivo per impostazione predefinita ed è richiesto per Windows 11.
Secure Boot e Linux
Un mito comune è che Secure Boot blocchi Linux. Non è così. Le principali distribuzioni come Ubuntu e Fedora supportano Secure Boot usando un piccolo programma firmato chiamato shim, che è considerato attendibile dalle chiavi standard e poi carica il bootloader e il kernel firmati della distribuzione stessa. Se compili kernel personalizzati o usi certi driver out-of-tree, puoi registrare le tue chiavi tramite MOK (Machine Owner Key) invece di disattivare la protezione. Disattivare Secure Boot è possibile, e a volte necessario per configurazioni di nicchia, ma significa rinunciare alla protezione a livello di boot, quindi è preferibile registrare le chiavi piuttosto che disattivarlo.
I limiti onesti
Secure Boot è prezioso, ma è uno strato, non un campo di forza:
- Protegge la catena di boot, non tutto ciò che viene dopo. Il malware che arriva tramite un link di phishing o un download malevolo, e viene eseguito quando il sistema operativo è già avviato, è un problema diverso.
- Ha avuto reali debolezze nel corso degli anni: bootloader firmati ma vulnerabili (la classe di problemi “BootHole”) hanno dimostrato che una firma attendibile vale solo quanto il codice che c’è dietro, ed è per questo che esiste l’elenco di revoca dbx.
- Dipende dal mantenere aggiornato il firmware, così che i componenti revocati e vulnerabili vengano effettivamente rifiutati.
Consideralo una base solida su cui si costruiscono altre difese, non l’unica cosa che ti separa da un attaccante.
FAQ
Dovrei tenere Secure Boot abilitato? Per quasi tutti, sì. È una difesa a basso costo e alto valore contro il malware a livello di boot, è attivo per impostazione predefinita e le moderne distribuzioni Linux funzionano con esso. Disattivalo solo se hai una ragione tecnica specifica, e preferisci registrare le tue chiavi.
Secure Boot rallenta il mio PC? No. I controlli della firma avvengono solo durante l’avvio e non aggiungono alcun tempo significativo, e non hanno alcun effetto sulle prestazioni una volta che il sistema è in esecuzione.
Secure Boot è lo stesso del TPM? No, anche se vengono spesso menzionati insieme. Secure Boot verifica le firme del software di avvio; un TPM è un chip separato che memorizza chiavi e misurazioni. Windows 11 e alcuni sistemi anti-cheat richiedono entrambi, ma svolgono compiti diversi.
In conclusione: Secure Boot fa in modo che solo software attendibile e firmato possa avviare il tuo computer, tenendo fuori il malware a livello di boot che si nasconde da tutto il resto. Tienilo attivo, mantieni aggiornato il firmware e consideralo la base solida di una difesa a più livelli, inclusi i sistemi moderni e rafforzati di cui parliamo in distribuzioni Linux immutabili.