Windows 11 ti identifica anche dietro una VPN: il segreto del GDID

Svelata l'esistenza di GDID, identificatore persistente di Windows usato per collegare uno stesso PC a indirizzi IP e attività differenti. Ecco come nasce, quali dati espone e perché le normali opzioni privacy non bastano.

Una VPN può nascondere l’indirizzo IP reale, ma non cancella necessariamente gli altri identificatori che un sistema operativo comunica ai servizi del produttore. La vicenda giudiziaria di Peter Stokes, 19enne accusato dalle autorità statunitensi di aver partecipato alle attività di un gruppo hacking criminale, ha portato alla luce un elemento di Windows quasi sconosciuto al grande pubblico: l’esistenza di un Global Device Identifier, abbreviato in GDID.

Il documento più rilevante non arriva da un’analisi teorica sulla telemetria, ma da una denuncia federale di 39 pagine depositata presso il Northern District of Illinois. Secondo l’FBI, Microsoft ha fornito registri capaci di riconoscere la stessa installazione di Windows mentre utilizzava indirizzi IP appartenenti a VPN, proxy e reti situate in Paesi diversi. Gli investigatori hanno poi incrociato tali dati con accessi a Snapchat, Facebook, account Apple, Ubisoft, siti di hotel e altri servizi.

Stokes, cittadino statunitense ed estone, è stato arrestato in Finlandia il 10 aprile 2026 mentre tentava di imbarcarsi su un volo diretto in Giappone. Aveva con sé, tra gli altri dispositivi, due dischi da 2 TB. A luglio il Dipartimento di Giustizia statunitense ha annunciato la sua estradizione e la comparizione davanti a un tribunale federale di Chicago. Le accuse riguardano cospirazione, intrusione informatica e frode; trattandosi di un procedimento ancora aperto, ogni responsabilità dovrà naturalmente essere accertata in giudizio.

Il caso è importantissimo al di là della singola indagine. Per anni Microsoft ha documentato molte categorie di dati diagnostici raccolti da Windows 10 e Windows 11, ma il termine GDID compariva pubblicamente quasi soltanto in una tabella tecnica dedicata ai report di Delivery Optimization. La denuncia dell’FBI offre invece una descrizione molto più esplicita: un identificatore persistente, associato all’installazione di Windows e utilizzabile attraverso diversi servizi Microsoft.

Cos’è il GDID di Windows

Nella definizione fornita da un rappresentante Microsoft agli investigatori, il GDID è un identificatore persistente a livello di dispositivo, progettato per distinguere un’installazione di Windows su un computer fisico o su una macchina virtuale. Rimane stabile durante gli aggiornamenti del sistema operativo; una reinstallazione completa genera invece un nuovo valore.

Non sembra trattarsi semplicemente del numero di serie della scheda madre, dell’indirizzo MAC o di un hash calcolato in locale partendo dalla configurazione hardware. Analisi indipendenti pubblicate dopo la diffusione della denuncia indicano una catena più articolata, legata ai servizi di identità dell’account Microsoft.

Durante la registrazione del dispositivo, il servizio wlidsvc, legato a Microsoft Account Sign-in Assistant, comunica con l’infrastruttura di autenticazione Microsoft. Il server restituisce un Device PUID, cioè un identificatore numerico assegnato lato server. PUID significa Passport Unique ID, una denominazione che risale alla precedente architettura Microsoft Passport e che sopravvive ancora in diversi componenti di Windows.

Il valore individuato dai ricercatori appartiene alla classe dei Device PUID e appare normalmente come una sequenza esadecimale di 16 caratteri. Windows lo conserva nel profilo dell’utente, tra le altre posizioni, sotto la chiave di registro HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties, nel valore chiamato LID. In alcune configurazioni lo stesso dato compare anche nell’area IdentityCRL, con il nome DeviceId.

La rappresentazione presente nei registri giudiziari assume tuttavia una forma differente: il valore esadecimale è convertito in numero decimale e preceduto dal prefisso g:. Il GDID citato nella denuncia, per esempio, è g:6755467234350028: si tratta dello stesso identificatore Device PUID espresso in un altro formato.

Un identificatore usato da molti servizi di Windows

L’identificatore in questione non rimane confinato nel registro di sistema: la Connected Devices Platform (CDP), implementata attraverso cdp.dll e i servizi CDPSvc e CDPUserSvc, gestisce varie funzioni che collegano dispositivi, account e attività. Tra gli esempi più noti figurano Collegamento al telefono, la condivisione nelle vicinanze, alcune esperienze tra dispositivi e, nelle versioni che la supportano, la sincronizzazione di determinate attività.

Le analisi effettuate su Windows 11 build 26200 mostrano che CDP legge il Device PUID e registra il dispositivo presso il Device Directory Service di Microsoft.

Un altro tassello arriva da Delivery Optimization, componente usato da Windows per scaricare aggiornamenti, applicazioni e altri pacchetti da Microsoft, da cache aziendali o, quando previsto dalla configurazione, da altri computer. Nei report di Windows Update for Business, la tabella UCDOStatus contiene una colonna chiamata GlobalDeviceId. Microsoft la descrive come un identificatore globale usato internamente.

La denuncia afferma che i registri Microsoft associavano lo stesso GDID all’accesso a specifiche pagine Web, compresa quella di registrazione di ngrok (servizio che consente di esporre un server su Internet).

Account locale e impostazioni privacy: cosa cambia

Usare un account locale per accedere a Windows riduce l’associazione diretta tra la sessione del sistema operativo e l’identità Microsoft. Resta una misura sensata per chi non usa sincronizzazione, backup automatico delle impostazioni e integrazione profonda con i servizi cloud. Non costituisce però una garanzia assoluta: basta accedere successivamente a Microsoft Store, OneDrive, Xbox, Edge o Microsoft 365 perché sul dispositivo tornino token e relazioni con l’account.

Disattivare i dati diagnostici facoltativi in Impostazioni, Privacy e sicurezza, Diagnostica e feedback limita la quantità di informazioni inviate. Windows 11 continua comunque a raccogliere una categoria di dati diagnostici obbligatori, che Microsoft considera necessaria per aggiornamenti, sicurezza, compatibilità, configurazione di base e funzionamento di Microsoft Store.

Conviene inoltre disattivare l’identificatore pubblicitario da Privacy e sicurezza, Generale oppure dalla sezione Raccomandazioni e offerte, a seconda della versione di Windows in uso. Va detto però che advertising ID e GDID sono due identificatori diversi: “spegnere” il primo impedisce alle applicazioni di usarlo per personalizzare gli annunci, ma non elimina automaticamente il secondo.

Reinstallare Windows cambia l’identificatore, ma non risolve tutto

La reinstallazione di Windows genera un nuovo GDID; gli aggiornamenti cumulativi, i feature update e le normali operazioni di manutenzione non lo cambiano.

Tornando ad accedere con lo stesso account Microsoft, usando OneDrive, Microsoft Store, la sincronizzazione di Edge o altri servizi personali, il dispositivo può tornare automaticamente a essere abbinato alla medesima identità.

Una semplice cancellazione del valore LID contenuto nel registro offre benefici limitati: il dato deriva dal livello di identità Microsoft e può ricomparire quando Windows rinnova i token, all’avvio del Microsoft Store o a una nuova registrazione del dispositivo.

Un tema da Garante Privacy

Il risultato dell’indagine può apparire positivo: un sospetto accusato di intrusioni è stato individuato nonostante l’uso di proxy e servizi VPN. Ma lo stesso strumento di correlazione integrato in Windows interessa anche giornalisti, ricercatori, attivisti, vittime di stalking, professionisti che trattano fonti riservate e persone che operano in Paesi dove la censura e la riduzione delle libertà fondamentali sono all’ordine del giorno.

In scenari ad alto rischio serve un modello operativo diverso: separazione delle identità, dispositivi dedicati, account non riconducibili tra loro, browser e profili isolati, sistemi progettati per lasciare poche tracce e, quando necessario, reti di anonimizzazione come Tor.

Neppure Linux o Tor rappresentano formule magiche. Un accesso a un account personale, un documento contenente metadati o un errore nella separazione delle attività possono vanificare protezioni tecnicamente solide. Il caso del GDID ribadisce una regola nota a chi si occupa di sicurezza: l’anonimato non dipende da un solo strumento, ma dalla configurazione complessiva dell’ambiente che si utilizza.

La sicurezza di una VPN riguarda soprattutto il canale di rete; la privacy dipende anche dal sistema operativo, dagli account usati e dai servizi che continuano a comunicare in background. Finché Microsoft non chiarirà in modo completo quali flussi alimentano il GDID e quali controlli permettono di limitarli, tale identificatore resterà un componente utile per risalire all’identità degli utenti.

Ti consigliamo anche

Link copiato negli appunti