Il recupero dei dati da un’unità crittografata con BitLocker non è sempre la stessa operazione. Se la password è stata dimenticata ma la chiave di ripristino è ancora disponibile, la soluzione richiede pochi minuti. Una tabella delle partizioni danneggiata su un volume crittografato, oppure un’unità di sistema che ha perso il vincolo con TPM dopo una modifica hardware, rappresenta invece uno scenario completamente diverso: il volume è ancora presente, ma individuarlo e sbloccarlo richiede più che digitare una password in Windows. Questa guida illustra entrambe le situazioni, sia per il volume di sistema (C) sia per qualsiasi volume dati crittografato aggiuntivo (D).

Contenuti
- Volumi, non dischi: cosa protegge realmente BitLocker
- Perché un’unità crittografata con BitLocker diventa inaccessibile
- Dove trovare la chiave di ripristino di BitLocker
- Come recuperare i dati da un’unità BitLocker con RS Partition Recovery
- Perché la scansione raw non funziona su un volume BitLocker bloccato
| Situazione | Cosa fare | Difficoltà |
|---|---|---|
| Password dimenticata, ma è disponibile la chiave di ripristino a 48 cifre o il file BEK | Sbloccare direttamente con la chiave durante il ripristino | Bassa |
| Il TPM non sblocca l’unità dopo una modifica della scheda madre o dell’UEFI | Usare la chiave di ripristino al posto dello sblocco automatico tramite TPM | Media |
| Tabella delle partizioni danneggiata, il volume viene visualizzato come RAW o non allocato | Il software di recupero individua il volume tramite la firma FVE, non tramite la tabella delle partizioni | Alta |
| La crittografia o la decrittografia è stata interrotta a metà processo | Il volume è parzialmente crittografato; sbloccarlo con la chiave e analizzarlo normalmente | Media |
| Chiave di ripristino completamente persa, senza alcun backup | Nessun modo per recuperare i dati: la crittografia sta svolgendo correttamente il proprio compito | Non recuperabile |
Volumi, non dischi: cosa protegge realmente BitLocker
BitLocker cripta un volume, non un disco fisico. Un disco può contenere più partizioni e solo alcune possono essere protette da BitLocker: il processo di ripristino dipende quindi dal volume interessato e dal relativo stato.
Sotto il cofano, BitLocker genera una Full Volume Encryption Key (FVEK) e cifra ogni settore del volume con AES, in modalità CBC o XTS, con l’Elephant Diffuser presente nelle versioni meno recenti di Windows. La FVEK viene racchiusa da una Volume Master Key (VMK), e la VMK è protetta da uno o più meccanismi: TPM (Trusted Platform Module), PIN, password, smart card oppure chiave di ripristino a 48 cifre. Nessuno di questi metodi richiede di conoscere direttamente la FVEK: basta un protector funzionante per sbloccare la VMK e accedere al volume. È possibile verificare quali protector siano configurati su un sistema in esecuzione con:
manage-bde -protectors -get C:

Questo spiega anche perché una tabella delle partizioni danneggiata non rappresenti necessariamente un punto di non ritorno per il recupero dati BitLocker.
I metadati FVE che descrivono il volume sono indipendenti dalla tabella delle partizioni: si tratta di una struttura separata, con una propria firma. Se la tabella delle partizioni è mancante, in Windows il volume viene visualizzato come spazio RAW o non allocato, ma i settori cifrati e l’intestazione FVE non si sono spostati. Uno strumento che legge solo la tabella delle partizioni restituisce “nessuna partizione trovata”. RS Partition Recovery analizza direttamente la firma FVE a livello di disco, prima dell’inserimento di qualsiasi chiave, e per questo identifica il volume BitLocker anche quando la tabella delle partizioni non esiste più.
Non eseguire una formattazione rapida né l’operazione di “inizializzazione del disco” su un volume visualizzato come RAW o non allocato se potrebbe essere protetto da BitLocker. Entrambe le operazioni possono sovrascrivere l’area della tabella delle partizioni e i metadati FVE necessari per individuare il volume, trasformando una situazione recuperabile in una non recuperabile.
I protector, in genere, differiscono tra volume di sistema e volume dati, anche se il formato dei metadati FVE è identico in entrambi i casi:
- Volume di sistema/avvio (C): di norma protetto da TPM, spesso in combinazione con un PIN. Il TPM vincola la chiave alla specifica scheda madre e alla configurazione di avvio; di conseguenza, spostare l’unità su un altro computer rende inutilizzabile il protector TPM. L’unico accesso possibile è tramite chiave di ripristino o password, se configurate.
- Volume dati (D): in genere utilizza una password, una smart card o lo sblocco automatico (auto-unlock), in cui la VMK di D è cifrata con una chiave memorizzata, a sua volta cifrata, sul volume di sistema e rilasciata automaticamente all’avvio di Windows sulla macchina originale. Al di fuori di quel sistema operativo, lo sblocco automatico non viene attivato e D richiede un proprio protector funzionante — normalmente una chiave di ripristino separata da quella usata per C.
Ecco perché lo stesso disco può richiedere una chiave di ripristino per C all’avvio e poi rifiutare qualunque cosa tranne una chiave completamente diversa per D: i due volumi non sono necessariamente protetti dallo stesso meccanismo, anche se il processo di decrittazione è identico una volta fornito un protector valido.
Perché un’unità crittografata con BitLocker diventa inaccessibile
Il guasto del protettore rappresenta solo una delle possibili cause. In pratica, i problemi di accesso rientrano in alcuni schemi ricorrenti:
- La sostituzione della scheda madre, un aggiornamento di UEFI/BIOS o una modifica della configurazione di Secure Boot invalida lo stato del TPM e il sistema torna a richiedere la chiave di ripristino.
- Il processo di crittografia o decrittografia viene interrotto — per un’interruzione di alimentazione, uno spegnimento forzato o il crash del processo
manage-bde— lasciando il volume solo parzialmente crittografato. - Il disco viene spostato su un altro computer che non dispone di alcun binding TPM associato, quindi funziona solo la chiave di ripristino o la password.
- La tabella delle partizioni è danneggiata o sovrascritta (errori di Gestione disco, reinstallazione del sistema operativo non riuscita, ripartizionamento accidentale) e il volume viene visualizzato come RAW o non allocato, anche se al di sotto è ancora crittografato e integro.
- Il controller di dominio che conserva la chiave di ripristino non è più raggiungibile, oppure la chiave non è mai stata archiviata in un percorso accessibile all’utente corrente.
- Un’unità con settori danneggiati tocca l’area che contiene i metadati FVE e lo stesso BitLocker non è più in grado di analizzare il proprio header.
Metodo rapido per verificare stato del volume e dei protettori prima di fare qualsiasi altra cosa:
manage-bde -status C:
Il comando mostra la percentuale di crittografia, il metodo utilizzato e lo stato di blocco: informazioni utili per distinguere un processo di crittografia interrotto da un volume realmente danneggiato prima di scegliere l’approccio di ripristino.
Dove trovare la chiave di ripristino di BitLocker
Prima di concludere che i dati siano persi, vale la pena verificare i punti in cui di solito viene salvata la chiave di ripristino BitLocker:
- Un account Microsoft: se il PC è stato configurato con uno, la chiave viene spesso caricata automaticamente ed è visibile su account.microsoft.com/devices/recoverykey.
- Una copia stampata o un file di testo salvato durante la configurazione, in genere denominato con l’ID univoco dell’unità (ad esempio,
BitLocker Recovery Key XXXXXXXX-XXXX-...txt). - Azure AD / Entra ID, per dispositivi aziendali o scolastici: un amministratore può recuperarla in base al dispositivo o al Key ID.
- Un amministratore di dominio, se il computer è加入 ad un dominio Active Directory locale che archivia le chiavi BitLocker.
- Una chiavetta USB salvata, se il volume è stato configurato per l’apertura tramite un file di chiave di avvio (BEK) anziché con una password digitata.
Se vengono trovate più chiavi, confrontarle in base al Key ID: lo stesso ID viene mostrato nella schermata di sblocco o segnalato da RS Partition Recovery quando rileva il volume, poiché ogni protezione è associata a uno specifico VMK.
Come recuperare i dati da un’unità BitLocker con RS Partition Recovery
RS Partition Recovery rileva un volume BitLocker durante la scansione iniziale del disco, indipendentemente dal fatto che la tabella delle partizioni sia integra. La chiave, la password oppure il file BEK vengono richiesti prima dell’avvio dell’analisi, non a metà processo — il flusso di lavoro è quindi il seguente:

Collegare l’unità e avviare una scansione. Il programma identifica il volume BitLocker dalla firma FVE, anche se la tabella delle partizioni è assente o il volume viene visualizzato come RAW.
Quando richiesto, inserire una password, la chiave di ripristino a 48 cifre oppure uno o più file chiave .bek. È possibile aggiungere più file BEK in una sola volta se non è chiaro quale sia quello corretto.

Se la chiave non è corretta, il programma segnala direttamente un errore di sblocco, senza passare a una scansione indiscriminata dei settori crittografati come se fossero dati in chiaro.
Una volta sbloccato, il volume viene decifrato al volo durante l’analisi, nello stesso modo in cui il driver BitLocker integrato lo decifra durante il normale utilizzo di Windows.

Verificare la struttura ad albero dei file recuperati e salvare i risultati su un’unità fisica diversa da quella di origine.
Lo stesso approccio si applica anche a un volume parzialmente crittografato, ovvero quando la crittografia o la decrittografia è stata interrotta a metà: è sufficiente fornire il protettore funzionante e il programma prosegue con l’analisi, senza richiedere prima il completamento o il rollback del processo.
Perché la scansione raw non funziona su un volume BitLocker bloccato
I settori cifrati sono statisticamente indistinguibili da dati casuali. Uno strumento di recupero dati che esegue la scansione di un volume BitLocker bloccato cercando firme di tipo file — l’intestazione JPEG, l’header locale ZIP e così via — può occasionalmente trovare corrispondenze con quei pattern di byte per puro caso all’interno del flusso cifrato. Il risultato sembra una normale scansione: un elenco di file .jpg, .zip o .docx “recuperati”. Nessuno di questi file si aprirà, perché in origine non esisteva alcun file reale: la corrispondenza con la firma è stata casuale. Si tratta di una causa frequente di confusione quando uno strumento non riconosce affatto BitLocker e tratta semplicemente il volume come dati non strutturati.
Una password BitLocker dimenticata non è recuperabile come una password dimenticata di un account Windows, tramite uno strumento di cracking degli hash. Le password di accesso a Windows vengono verificate confrontandole con un hash memorizzato sullo stesso computer; i proteggitori di BitLocker, invece, ricavano una chiave utilizzata direttamente nella crittografia AES, senza alcuna scorciatoia equivalente. L’unico modo per accedere senza la password originale è la chiave di ripristino oppure, se configurato, un file BEK.
Domande frequenti
manage-bde -resume C:. Se questo fallisce, o se l'obiettivo è semplicemente recuperare i file, sbloccare il volume con la chiave di ripristino e scansionarlo direttamente funziona indipendentemente da quanto fosse avanzato il processo.





