Microsoft ha deciso di chiudere un capitolo di sicurezza rimasto aperto per oltre vent'anni. A partire da aprile 2026, Windows cesserà di accettare driver kernel sottoscritti attraverso il vecchio programma di firma incrociata, uno schema di certificazione risalente agli albori del nuovo millennio che era stato formalmente abbandonato già nel 2021. La nuova politica entrerà in vigore su Windows 11 nelle versioni 24H2, 25H2 e 26H1, oltre a Windows Server 2025 e tutti i sistemi successivi, sia client che server.
Il motivo di questa svolta è tutt'altro che accademico. I driver kernel operano nelle viscere del sistema operativo, con accesso diretto all'hardware e alla memoria di macchina: un driver compromesso o non controllato adeguatamente a questo livello diventa una porta spalancata per furti di dati, installazione di rootkit e aggiramenti dei sistemi di protezione antivirus. Continuare a fidarsi di certificati emessi vent'anni fa rappresenta un rischio concreto che Microsoft ha ritenuto inaccettabile, specialmente alla luce dei recenti problemi di stabilità segnalati negli ambienti aziendali.
Da aprile 2026, solo i driver sottoscritti attraverso il Windows Hardware Compatibility Program (WHCP), il nuovo standard di certificazione, potranno essere caricati di default. Per garantire la continuità operativa, Redmond manterrà una lista ufficiale di driver legacy già validati mediante il protocollo precedente, che continueranno a funzionare normalmente. I nuovi driver, invece, dovranno necessariamente superare le verifiche del programma WHCP per ottenere l'accettazione del kernel.
La transizione non avverrà in modo brutale. Microsoft introdurrà inizialmente una "fase di valutazione" durante la quale il sistema monitorerà attentamente eventuali anomalie e conflitti prima di applicare le restrizioni in maniera definitiva. Le organizzazioni che dipendono da driver personalizzati o legacy potranno inoltre ricorrere alla policy Application Control for Business, lo strumento precedentemente conosciuto come WDAC, per sovrascrivere le impostazioni standard del kernel quando necessario.
Secondo quanto riferito, questa decisione non è stata presa in astratto, ma si basa su una raccolta di dati telemetrici effettuata nei due anni precedenti su dispositivi con Windows 11 e Windows Server 2025. Microsoft ha analizzato milioni di segnalazioni riguardanti errori, prestazioni e modalità d'uso reale per comprendere quale potesse essere l'approccio più sicuro senza compromettere la compatibilità. L'azienda continuerà a raccogliere feedback durante la transizione per perfezionare il rollout della nuova politica.
