Risolvere l'errore «PCR7 binding is not supported» e abilitare la crittografia del dispositivo in Windows 11

Perché compare questo errore e perché manca la crittografia del dispositivo

Windows 11 include una funzione di crittografia del dispositivo di base che protegge i dati in caso di perdita o furto. Questa funzione è diversa da BitLocker: la versione base richiede hardware compatibile per funzionare, mentre BitLocker (incluso in Windows 11 Pro) è più flessibile e offre opzioni avanzate.

L’errore «PCR7 binding is not supported» indica un problema legato alla misura di integrità PCR7 usata per l’avvio sicuro e la protezione della piattaforma. Quando questa misura non è disponibile o Secure Boot è disabilitato, Windows non può usare la crittografia del dispositivo integrata.

Requisiti essenziali per la crittografia del dispositivo:

• Modulo TPM 2.0 (Trusted Platform Module) abilitato
• Supporto Modern Standby (sistemi moderni che gestiscono la sospensione)
• Firmware UEFI (il BIOS legacy non è supportato)

Se hai già installato Windows 11, probabilmente il tuo PC supporta TPM 2.0 e UEFI. Tuttavia potrebbe essere necessario abilitare TPM e Secure Boot dalle impostazioni del firmware (BIOS/UEFI) per risolvere l’errore.

Controllare lo stato di Secure Boot e TPM in Windows

1. Premi il tasto Win e digita Informazioni di sistema.
2. Apri l’app Informazioni di sistema come amministratore (clic destro ▶ Esegui come amministratore).
3. Nella colonna di destra, scorri fino a trovare Stato Secure Boot e Modulo piattaforma attendibile (TPM).
4. Se Stato Secure Boot è Off o TPM mostra una versione diversa da 2.0, dovrai intervenire nel BIOS/UEFI.

Nota importante: se Informazioni di sistema riporta “Hardware Security Test Interface failed” e “device is not Modern Standby supported”, probabilmente l’hardware non supporta la crittografia del dispositivo base.

Come abilitare Secure Boot e TPM nel BIOS/UEFI

Prima di iniziare: salva il lavoro non salvato e spegni il PC.

1. Accendi il PC e premi ripetutamente il tasto per entrare nel BIOS/UEFI (tasti comuni: F2, F10, F12, F1 o Canc). Il tasto corretto varia in base al produttore.
2. Cerca le impostazioni di sicurezza o Boot Options.
3. Individua la voce Secure Boot e impostala su Enabled.
4. Trova le impostazioni relative al TPM (a volte chiamato PTT su sistemi Intel o fTPM su AMD) e abilita il modulo. Assicurati che la versione sia 2.0 se necessario.
5. Salva le modifiche e riavvia il PC.

Suggerimento: alcuni firmware presentano impostazioni che forzano una modalità legacy per la compatibilità. Switching a modalità UEFI completa (non CSM/Legacy) è spesso necessario per Secure Boot.

Cosa fare se il PC non supporta Modern Standby o TPM 2.0

Se dopo aver abilitato Secure Boot e TPM continui a vedere l’errore, il sistema potrebbe non soddisfare uno dei requisiti hardware. Le opzioni pratiche sono:

• Passare a Windows 11 Pro e usare BitLocker, che offre crittografia completa anche quando la crittografia del dispositivo integrata non è supportata.
• Usare software di terze parti affidabili come VeraCrypt per cifrare partizioni o volumi specifici.
• Considerare l’aggiornamento hardware (ad esempio scheda madre con TPM 2.0 o un modulo TPM aggiuntivo) solo se supportato dal produttore.

Important: la modifica impostazioni firmware o l’aggiornamento di componenti hardware può cancellare dati o invalidare garanzie. Esegui backup completi prima di procedere.

Procedura passo-passo rapida per la risoluzione dei problemi

1. Verifica Informazioni di sistema per Stato Secure Boot e versione TPM.
2. Se Secure Boot o TPM sono disabilitati, riavvia e accedi al BIOS/UEFI.
3. Abilita Secure Boot e TPM (PTT/fTPM se presenti).
4. Imposta il firmware in modalità UEFI se era impostato su legacy/CSM.
5. Salva e riavvia, quindi ricontrolla Informazioni di sistema.
6. Se il messaggio persiste e l’hardware non supporta Modern Standby, valuta BitLocker o crittografia di terze parti.

Alternative e approcci aggiuntivi

• Soluzione rapida per utenti privati: se non vuoi cambiare il firmware, usa VeraCrypt per crittografare il disco di sistema o volumi sensibili. Offre buona protezione indipendentemente dal supporto Modern Standby.
• Soluzione per aziende: i reparti IT possono distribuire BitLocker con gestione centralizzata (MDM/Group Policy) e usare TPM con cifratura basata su chiavi di dominio.
• Upgrade hardware: controlla la documentazione del produttore della scheda madre per vedere se è disponibile un modulo TPM 2.0 compatibile.

Quando questa soluzione fallisce

• Il firmware non offre opzioni Secure Boot o TPM (sistemi molto vecchi o OEM limitati).
• Il produttore ha disabilitato il supporto TPM via firmware senza aggiornamenti disponibili.
• Il dispositivo non supporta Modern Standby; la crittografia del dispositivo integrata non può essere forzata.

In questi casi, la crittografia software di terze parti rimane l’opzione principale.

Diagramma decisionale rapido

flowchart TD
  A[Controlla Informazioni di sistema] --> B{Stato Secure Boot}
  B -- Off --> C[Entra nel BIOS/UEFI e abilita Secure Boot]
  B -- On --> D{TPM 2.0 abilitato}
  D -- No --> E[Abilita TPM 'PTT/fTPM' nel BIOS]
  D -- Sì --> F{Modern Standby supportato}
  F -- No --> G[Usa BitLocker o crittografia di terze parti]
  F -- Sì --> H[La crittografia del dispositivo dovrebbe funzionare]
  C --> I[Riavvia e ricontrolla]
  E --> I
  G --> I
  H --> I

Checklist per ruolo

• Utente finale

  • Eseguire backup dei dati importanti
  • Controllare Informazioni di sistema
  • Provare VeraCrypt se non si vuole cambiare versione di Windows

• Amministratore IT

  • Verificare compatibilità hardware dell’intero parco macchine
  • Configurare BitLocker con TPM e policy di recupero chiave
  • Distribuire istruzioni centralizzate per abilitare Secure Boot

• Tecnico/Assemblatore

  • Verificare la presenza del connettore TPM sulla scheda madre
  • Aggiornare firmware/BIOS se disponibili patch dal produttore
  • Testare il comportamento dopo passaggio a UEFI completo

Mini-metodologia per l’intervento sicuro

1. Backup completo: immagini del sistema o copie dei file critici.
2. Verifica firmware: leggere le note di rilascio del produttore prima di aggiornare.
3. Cambiamenti progressivi: abilitare Secure Boot prima di altre modifiche critiche.
4. Verifica post-intervento: controllare Informazioni di sistema e stato della crittografia.

Box dei fatti chiave

• TPM 2.0: requisito hardware per la maggior parte delle funzioni di crittografia integrate di Windows 11.
• UEFI: necessario per Secure Boot; il BIOS legacy non è supportato.
• Modern Standby: requisito per la funzione di crittografia del dispositivo “base”.

Glossario in una riga

• TPM: modulo hardware che memorizza chiavi crittografiche in modo sicuro.
• UEFI: firmware moderno che sostituisce il BIOS tradizionale.
• Modern Standby: modalità di sospensione avanzata che gestisce la connettività e il risparmio energetico.

Riepilogo

Se Visualizzi «PCR7 binding is not supported», parte dall’Informazioni di sistema e verifica Secure Boot e TPM. Abilita Secure Boot e TPM dal BIOS/UEFI, imposta la modalità UEFI se necessario e riavvia. Se l’hardware non supporta Modern Standby o TPM 2.0, valuta BitLocker (Windows 11 Pro) o una soluzione di crittografia di terze parti.

Nota finale: esegui sempre backup completi prima di modificare impostazioni firmware o procedere con aggiornamenti hardware.