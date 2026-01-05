Il meccanismo di attivazione di Windows (MPA, Microsoft Product Activation) sta subendo una delle trasformazioni più radicali dalla sua introduzione nel 2001 con Windows XP. Recenti evidenze tecniche e segnalazioni della community indicano che Microsoft ha iniziato a dismettere silenziosamente il sistema di attivazione telefonica basato su IVR (Interactive Voice Response), sostituendolo con un processo interamente digitale che richiede l’autenticazione tramite account Microsoft.

Per oltre 20 anni, gli utenti impossibilitati a connettersi a Internet potevano attivare le proprie licenze numeri verdi o numerazioni dedicate e inserendo l’Installation ID (IID) tramite il tastierino numerico (toni DTMF).

Attualmente, il tentativo di utilizzare questo canale per attivare Windows genera un messaggio registrato che reindirizza l’utente verso il portale di attivazione del prodotto Microsoft. Il cambiamento non è ancora stato recepito dalla documentazione ufficiale, che continua a suggerire il percorso “Attiva tramite telefono” all’interno delle impostazioni di sistema di Windows 10 e Windows 11, creando una discrepanza tra le istruzioni fornite dal software e l’effettiva infrastruttura di supporto.

Architettura del nuovo portale di attivazione

Il nuovo portale di attivazione introduce requisiti tecnici e barriere di sicurezza precedentemente inesistenti avvalendosi del sistema telefonico:

Risoluzione di CAPTCHA: Per scongiurare l’automazione del processo da parte di bot, il portale richiede obbligatoriamente il superamento di una sfida visiva.

Utilizzo di un account Microsoft: A differenza della vecchia telefonata, l’utente deve ora effettuare il login con un account Microsoft per procedere alla generazione del Confirmation ID (CID).

Analisi dell’interfaccia utente: Il portale presenta alcune criticità tecniche. In alcune configurazioni, l’Installation ID non appare suddiviso nei classici gruppi numerici, rendendo l’inserimento manuale difficoltoso. Inoltre, sono state rilevate incongruenze nei metadati: durante i test di attivazione di Windows 7, il portale ha erroneamente etichettato la sessione come relativa a “Office 2010”, pur generando un CID tecnicamente valido per il sistema operativo.

Impatto su sistemi legacy e Licenze OEM

La transizione è particolarmente critica per il software datato e le licenze OEM (Original Equipment Manufacturer). In Windows 7, ad esempio, l’attivazione automatica via Internet ora fallisce spesso poiché i server originali non sono più raggiungibili senza l’ausilio di tool di terze parti, come Legacy Update.

L’attivazione telefonica era l’unico metodo “ufficiale” rimasto per recuperare i sistemi entrati nella cosiddetta Reduced Functionality Mode (RFM), stato di emergenza del sistema operativo che limita drasticamente l’esperienza dell’utente. Si manifesta con un desktop dallo sfondo nero, avvisi costanti sulla contraffazione del software e la disattivazione di alcune funzioni chiave fino a quando non si inserisce un codice di attivazione valido.

Sebbene il portale web permetta ancora di ottenere il codice di sblocco, la necessità di un dispositivo connesso e di un account registrato elimina la possibilità di operare in ambienti totalmente offline (air-gapped).

Il contesto più ampio: sicurezza e lotta alla pirateria

La chiusura del sistema IVR si inserisce in una strategia più ampia di Microsoft per stringere le maglie dell’attivazione. Già a partire da novembre 2025, l’azienda di Redmond ha iniziato a rimuovere metodi non ufficiali legati all’utilizzo del protocollo KMS (Key Management Service) che permettevano l’attivazione offline.

La centralizzazione del processo su un portale Web che richiede l’autenticazione con un account Microsoft, suggerisce la volontà di legare in modo univoco ogni licenza a un’identità digitale, eliminando quell'”anonimato” che caratterizzava il vecchio sistema basato su tastiera a toni.

Abbiamo visto cosa cambia con Windows non attivato e come Massgrave abbia scovato un exploit che prende di mira, alla base, la piattaforma Software Protection Platform (SPP). Inutile dire che nessuno di questi metodi permette di acquisire una licenza valida e che il loro utilizzo espone a rischi sul piano civile e penale.

Attivazione tramite server KMS locale: stato attuale e limiti dell’offline

Un server KMS è un meccanismo legittimo di Microsoft pensato per ambienti enterprise e contratti multilicenza (Volume Licensing): un host KMS nella rete locale risponde alle richieste di attivazione dei client Windows ed Office, senza che ogni singola macchina contatti direttamente i server Microsoft su Internet.

Il client Windows configura una chiave GVLK (Generic Volume License Key) per rivolgersi a un host KMS interno e, se il numero minimo di richieste è soddisfatto, il servizio risponde con una conferma di attivazione valida per un periodo di 180 giorni, rinnovabile periodicamente tramite replica interna al server KMS.

Procedura di configurazione e richiesta di attivazione

Dal punto di vista operativo, il dialogo tra il client e il server KMS avviene tramite gli strumenti di licensing integrati nel sistema operativo e nella suite Office. È sufficiente configurare manualmente l’indirizzo del server KMS e avviare la procedura di attivazione.

Per Windows (Prompt dei comandi con privilegi amministrativi):

slmgr /skms kms.dominio.local

slmgr /ato

Per Microsoft Office (Prompt dei comandi con privilegi amministrativi):

cscript ospp.vbs /sethst:kms.dominio.local

cscript ospp.vbs /act

L’indirizzo kms.dominio.local rappresenta il nome DNS o l’indirizzo IP del server KMS presente nella rete locale. Una volta completata l’operazione, il client memorizza lo stato di attivazione e tenterà automaticamente il rinnovo prima della scadenza dei 180 giorni.

Attivazione offline sì, ma non permanente

Tecnicamente, questa forma di attivazione non richiede che ogni singola macchina si connetta a Internet e può avvenire completamente all’interno di una rete chiusa (air-gapped), ma non è un’attivazione permanente offline nel senso tradizionale: ogni client deve periodicamente interrogare il server KMS perché la licenza rimanga attiva. Il processo non dipende dall’accesso ai server Microsoft, ma richiede comunque infrastruttura di rete locale e un host KMS correttamente configurato.

Va anche chiarito che alcune tecniche “offline” di attivazione diffuse nella community, come KMS38 — che tentavano di prolungare la validità della licenza ben oltre l’intervallo di 180 giorni simulando uno stato di attivazione “fisso” — risultano disattivate dalle patch Windows pubblicate a novembre 2025 (KB5068861, KB5067112): Microsoft ha rimosso o bloccato le componenti interne che questi strumenti sfruttavano, rendendo queste forme di attivazione non ufficiali inefficaci sui sistemi aggiornati.

Il server KMS locale continua a funzionare per ambienti con contratti multilicenza, permettendo ad host e client di attivarsi senza contattare direttamente Microsoft (quindi in senso stretto può essere considerato offline), ma con requisiti specifici e periodicità di rinnovo.