Lumina Digest

Oracle perde circa il 12% malgrado una trimestrale record: pesa il conto dei capex AI

Il titolo segna la peggior seduta da gennaio 2025 dopo conti sopra le attese: il mercato prezza i ~70 miliardi di capex netti previsti per il FY2027, il free cash flow negativo e la concentrazione del backlog su OpenAI.

Oracle ha perso circa il 12% (-11,97%, a 178,16 dollari) nella seduta dell'11 giugno 2026, la peggiore da gennaio 2025: oltre 70 miliardi di dollari di capitalizzazione bruciati in un giorno. Eppure la trimestrale era da record. Nel quarto trimestre fiscale (chiuso il 31 maggio) i ricavi sono saliti a 19,2 miliardi (+21% su base annua), sopra il consenso. L'utile non-GAAP per azione è stato di 2,11 dollari (+24%). I ricavi cloud sono cresciuti del 47% a circa 9,9 miliardi, con OCI — l'infrastruttura — a +93% (5,8 miliardi). Il backlog (RPO) è esploso a 638 miliardi, +363% anno su anno (CNBC).

A spaventare il mercato è il conto dell'infrastruttura AI. I capex del FY2026 sono saliti a 55,7 miliardi, contro i 50 di guidance. La nuova CFO Hilary Maxson ha indicato per il FY2027 un esborso netto di cassa intorno ai 70 miliardi (90-95 lordi, al netto di 20-25 miliardi di prepagamenti dei clienti). Il free cash flow del FY2026 è risultato negativo per 23,7 miliardi, da -0,4 l'anno prima. BofA avverte che potrebbe restare negativo fino al FY2029 (Benzinga). Per finanziare la corsa, Oracle prevede di raccogliere circa 40 miliardi tra debito ed equity, su un indebitamento già oltre 162 miliardi (Reuters).

Il nodo più discusso è la concentrazione del backlog. Secondo un'analisi indipendente, circa il 47% dell'RPO dipende da OpenAI, che fattura ~2 miliardi al mese ma non è ancora profittevole. Guggenheim, invece, sostiene che la concentrazione stia migliorando, con quattro clienti da oltre 8 miliardi (The Motley Fool). Gli analisti restano in gran parte rialzisti (target fino a 400 dollari), ma il mercato ha punito il "beat risicato" e i dubbi su ritorni e finanziamento.

Perché conta

• IMPRENDITORI: Anche con conti record, il mercato ha ripudiato la sola "narrativa AI": conta come si finanzia la crescita. Free cash flow a -23,7 miliardi, ~40 miliardi ancora da raccogliere e debito oltre 162 miliardi dicono che servono unit economics, cassa e piani di finanziamento credibili, non solo un backlog gonfio.
• INGEGNERI ICT / IT MANAGER: Oracle sta costruendo capacità OCI a ritmo enorme (+93%), ma la tenuta finanziaria del fornitore e la concentrazione del backlog su pochi clienti (OpenAI) diventano criteri di due diligence per chi sceglie l'infrastruttura cloud: margini sotto pressione e capex fuori scala possono incidere su prezzi, SLA e continuità del servizio.

CISA impone la patch in 3 giorni per le falle critiche, citando l'accelerazione dell'AI

La nuova Binding Operational Directive BOD 26-04 sostituisce le scadenze uniformi con un modello di rischio a quattro fattori e indica esplicitamente l'intelligenza artificiale come ragione della stretta. Introduce anche l'obbligo di verificare la compromissione prima di applicare la patch.

Con la Binding Operational Directive BOD 26-04 «Prioritizing Security Updates Based on Risk», emessa il 10 giugno 2026, la CISA impone alle agenzie civili federali statunitensi (FCEB) di correggere entro 72 ore le vulnerabilità più pericolose. La direttiva sostituisce le BOD 19-02 (2019) e 22-01 (2021) e archivia le scadenze uniformi, come la precedente finestra di circa due settimane per il catalogo KEV. Al loro posto introduce un modello di rischio a quattro fattori: asset esposto a internet, presenza nel catalogo Known Exploited Vulnerabilities (KEV), exploit automatizzabile e capacità di ottenere il controllo del sistema. Le falle che cumulano questi criteri finiscono nella finestra di 3 giorni; altre categorie hanno scadenze più lunghe. Il termine arriva fino a due settimane per le vulnerabilità che soddisfano i criteri ma non sono automatizzabili, mentre quelle a rischio più basso sono rinviabili al prossimo aggiornamento di sistema.

La direttiva e le dichiarazioni CISA citano esplicitamente l'AI come ragione della stretta: «i difensori non possono permettersi di impiegare settimane per applicare patch a sistemi che possono essere sfruttati in modo autonomo e su larga scala», ha dichiarato Chris Butera, acting executive assistant director della CISA, citando la capacità dell'intelligenza artificiale di trovare e sfruttare le vulnerabilità a un ritmo crescente.

La direttiva aggiunge un obbligo spesso trascurato: prima della patch le agenzie devono verificare un'eventuale compromissione, perché «applicare una patch in genere non sfratta un threat actor». L'attuazione è scaglionata: 60 giorni per aggiornare i processi, 180 per la piena conformità.

Non mancano i dubbi: Tod Beardsley, ex responsabile del catalogo KEV alla CISA, si dice «dubbioso» che una scadenza di tre giorni distribuita su oltre cento agenzie sia una cadenza realizzabile oggi. La stessa analisi CISA stima che in un'agenzia solo l'1% delle vulnerabilità rientrerebbe nei 3 giorni, mentre oltre il 60% resta meno grave e rinviabile al prossimo aggiornamento di sistema.

Perché conta

• INGEGNERI ICT / IT MANAGER: Il benchmark operativo del vulnerability management si sposta: asset inventory aggiornato, exploitability scoring e procedure di emergency change devono essere pronti prima del ciclo di crisi, non improvvisati durante. Anche fuori dal perimetro federale la finestra di 72 ore diventa il nuovo riferimento difendibile, e l'obbligo di triage della compromissione prima della patch ridefinisce il runbook di risposta.

Sell-off sui titoli AI: Super Micro crolla del 28% dopo un aumento di capitale da 7 miliardi

Seduta in forte calo per AI e semiconduttori il 10 giugno: Super Micro precipita dopo aver annunciato una raccolta da 7 mld $, Nvidia cede il 3,7% e l'intero comparto chip arretra tra valutazioni elevate, inflazione e tensioni geopolitiche.

Il 10 giugno 2026 i titoli legati all'intelligenza artificiale e ai semiconduttori hanno guidato una seduta in forte calo a Wall Street. Il caso più clamoroso è Super Micro Computer, crollata di circa il 28% (chiusura a 29,27 $) dopo aver annunciato — a mercati chiusi il 9 giugno — un piano per raccogliere 7 miliardi di dollari tra azioni ordinarie, preferred convertibili e un programma at-the-market. Il capitale serve a finanziare l'acquisto di componenti per evadere circa 39 miliardi di dollari di ordini di server AI ricevuti da oltre 20 clienti: ordini che però la stessa Supermicro avverte non costituire impegni fermi e restare soggetti a cancellazioni, ritardi e al rispetto delle condizioni contrattuali da entrambe le parti. Il mercato ha letto la raccolta come diluizione e ha venduto.

Il calo si è esteso all'intero comparto chip. Nvidia ha perso il 3,7%, il maggior peso negativo sull'S&P 500 (capitalizzazione vicina a 4,9 mila miliardi $); Broadcom è scesa del 5,1% e i nomi delle memorie — Micron (tra −4% e −4,7%, pur a +212,5% da inizio anno), SK Hynix e Samsung — hanno ceduto terreno. Gli indici hanno chiuso in rosso: S&P 500 −1,6% a 7.266,99, Nasdaq −2% a 25.169,50, Dow −1,9% a 49.918,78.

Sul calo pesano fattori macro oltre alle valutazioni giudicate "salite troppo in fretta": l'inflazione USA al 4,2% a maggio (massimo in circa tre anni), le tensioni con l'Iran che hanno spinto il Brent oltre i 93 $ al barile e colpito i titoli sensibili al carburante (United −6,2%, Carnival −6,3%). Sull'aumento di Super Micro le letture divergono: per alcuni analisti non è un salvataggio di bilancio ma una richiesta di capitale trainata dalla crescita, con giudizi in prevalenza "hold" e un target medio intorno a 37,63 $.

Perché conta

• IMPRENDITORI: Il riprezzamento colpisce due nervi: il costo del capitale (la diluizione punitiva di Super Micro segnala quanto il mercato sia diventato severo nel finanziare la crescita) e la sostenibilità della spesa AI. Chi pianifica raccolte o valuta esposizioni al settore deve mettere in conto una volatilità e una richiesta di disciplina sui margini ben superiori a pochi mesi fa.
• INGEGNERI ICT / IT MANAGER: La tensione finanziaria sui fornitori di hardware AI (server, GPU, memorie) tocca direttamente roadmap di procurement e budget infrastrutturali: la salute di un vendor come Super Micro, che diluisce gli azionisti con una raccolta equity/equity-linked da 7 mld $ per finanziare l'acquisto di componenti a fronte di ~39 mld $ di ordini AI annunciati ma non ancora impegni fermi, e l'oscillazione dei prezzi delle memorie sono variabili da monitorare per chi sta dimensionando o acquistando capacità AI.

Prova NIST: nessun set finito di guardrail blocca ogni jailbreak

Un senior scientist del NIST dimostra, estendendo i teoremi di Gödel, che per qualsiasi insieme finito di regole esiste un prompt che le aggira. La sicurezza AI passa dal blocco statico al monitoraggio continuo.

Apostol Vassilev, senior scientist al NIST, ha pubblicato su IEEE Security & Privacy una dimostrazione matematica secondo cui per qualsiasi insieme finito di guardrail esiste un prompt capace di farli ignorare al modello. Il risultato — nel paper «Robust AI Security and Alignment: A Sisyphean Endeavor?» — estende all'AI i teoremi di incompletezza di Gödel (1931). Per ogni sistema formale consistente e abbastanza espressivo da codificare una certa aritmetica esistono enunciati veri ma non dimostrabili al suo interno; non vale invece per qualunque insieme finito di assiomi, dato che esistono teorie complete e decidibili. Per analogia, un set finito di regole non può essere allo stesso tempo completo e coerente contro ogni input, e aggiungere regole per chiudere una falla ne apre di nuove.

Sul piano tecnico la prova si appoggia alla formalizzazione di Chaitin del teorema di Gödel e modella il guardrail come un «checker» che verifica se un prompt appartiene all'insieme vietato; poiché «il linguaggio è infinitamente ambiguo», i modi di nascondere un intento dannoso sono illimitati. Un caveat è centrale e va sottolineato: la dimostrazione è NON costruttiva — prova che il prompt esiste, ma non fornisce agli attaccanti alcuna ricetta per trovarlo, spingendoli verso costosi zero-day.

I dati indipendenti confermano la fragilità: nel paper «No, of Course I Can! Deeper Fine-Tuning Attacks That Bypass Token-Level Safety Mechanisms» ricercatori di Stanford, ServiceNow Research e FAR AI mostrano che un attacco di fine-tuning aggira Claude Haiku nel 72% dei casi e GPT-4o nel 57% — dati ripresi anche da Help Net Security, che ricorda come nel 2025 OWASP abbia classificato la prompt injection come rischio LLM numero uno. La conclusione di Vassilev: abbandonare il modello «one and done» a favore di red team continui, hardening incrementale e resilienza operativa, fino a rendere lo sfruttamento economicamente proibitivo.

Perché conta

• LLM BUILDER/DEV: La prova chiude la porta al guardrail statico «perfetto»: i controlli a livello di modello da soli non bastano (Claude Haiku e GPT-4o aggirati nella maggioranza dei test di fine-tuning). Va progettata una difesa a più livelli con red teaming continuo e monitoraggio in produzione, non un set di regole definito una volta sola.
• INGEGNERI ICT / IT MANAGER: La sicurezza AI diventa un processo operativo permanente, non un collaudo una tantum: servono budget e processi per testing avversariale continuo (integrato nella CI), aggiornamento ricorrente dei guardrail e capacità di contenimento e ripristino rapido degli incidenti.

Canada: presentato il Safe Social Media Act, social vietati sotto i 16 anni e obblighi per i chatbot AI

Il 10 giugno 2026 il governo canadese ha introdotto in prima lettura il Bill C-34: età minima 16 anni per i social, una 'duty to act responsibly' per i chatbot AI e una nuova Digital Safety Commission. Non è ancora legge.

Il 10 giugno 2026 il governo del Canada ha presentato in prima lettura alla Camera dei Comuni il Bill C-34, il Safe Social Media Act, illustrato dal ministro Marc Miller. Attenzione: il disegno di legge è stato introdotto, non è ancora in vigore. Istituirebbe due nuove leggi — il Digital Safety Act e il Digital Safety Commission of Canada Act — e una Digital Safety Commission incaricata di applicare le regole, emanare regolamenti, valutare la conformità e gestire i reclami.

L'impianto ruota su tre doveri: una duty to protect children estesa a tutti i servizi regolati, una duty to act responsibly e l'obbligo di rendere inaccessibili determinati contenuti. Per i social scatterebbe un'età minima di 16 anni per aprire un account, con possibilità di esenzione per le piattaforme che dimostrino tutele adeguate per i minori. I chatbot AI sarebbero soggetti a una duty to act responsibly su misura: mitigare il rischio che il bot comunichi contenuti dannosi, prevedere misure d'emergenza nelle crisi e ridurre i comportamenti dannosi. Le piattaforme dovrebbero gestire sette categorie di contenuto nocivo e rimuovere rapidamente il materiale più grave. Sono previste sanzioni fino al 3% del fatturato globale (soglia 10 milioni di dollari) e fino al 5% per i reati degli operatori.

Il testo è già contestato. Il giurista Michael Geist osserva che «quasi ogni componente chiave» — quali piattaforme siano coperte, quale verifica dell'età sia adeguata, quali misure servano per ottenere un'esenzione — è rinviata a regolamenti che ancora non esistono: un approccio «trust us» che, scrive, comporterà anni di attuazione e probabili contenziosi giudiziari. Geist sottolinea inoltre che un'età minima è «di fatto un requisito di verifica dell'età per tutti», perché individuare chi ha meno di 16 anni significa identificare chiunque non li abbia. Osserva poi che, pur essendo il testo dichiaratamente redatto «con la Charter in mente», restano aperti i rischi costituzionali su libertà d'espressione e privacy.

Perché conta

• UTENTI FINALI: L'età minima a 16 anni si traduce in pratica in una verifica dell'età per tutti gli utenti — non solo per i minori — con implicazioni dirette su privacy e identificazione; e chatbot tenuti ad 'agire responsabilmente' potrebbero applicare filtri più restrittivi sui temi sensibili.
• IMPRENDITORI: Chi gestisce social o chatbot AI rivolti al pubblico canadese dovrà ripensare onboarding, verifica dell'età e moderazione, con un'esposizione a sanzioni fino al 3-5% del fatturato globale; l'alta quota di regole rinviate a regolamenti futuri rende oggi la compliance un bersaglio mobile.

Un vaccino pan-coronavirus con antigene progettato dall'AI supera la fase 1 sull'uomo

Il candidato pEVAC-PS di University of Cambridge e DIOSynVax è il primo vaccino con il principio attivo interamente progettato al computer a essere testato sull'uomo. In fase 1 è risultato sicuro e ben tollerato, ma con una risposta immunitaria modesta nei volontari già immunizzati.

University of Cambridge e la sua spin-out DIOSynVax hanno completato la prima sperimentazione sull'uomo di pEVAC-PS, candidato vaccino "pan-sarbecovirus" il cui antigene è stato progettato al computer. La piattaforma DIOSynVax ha applicato il machine learning alle sequenze genetiche dell'intera famiglia dei sarbecovirus — SARS-CoV-2, il SARS e i coronavirus dei pipistrelli. L'obiettivo era costruire un singolo "super-antigene" sintetico che condensa le caratteristiche conservate comuni a tutto il gruppo, comprese quelle di virus non ancora emersi. Secondo l'annuncio dell'ateneo, è la prima volta che un vaccino con il principio attivo "progettato interamente da simulazioni al computer" arriva al test sull'uomo. L'AI non genera biologia alla cieca, ma seleziona e ottimizza i bersagli su conservazione, accessibilità strutturale e potenza.

Lo studio di fase 1 (open-label, a dosi crescenti) ha arruolato 39 volontari sani di 18-50 anni, già vaccinati anti-COVID. Il vaccino a DNA è stato somministrato per via intradermica e senza ago (dispositivo PharmaJet Tropis), con quattro dosi da 0,2 a 1,2 mg ai giorni 0 e 28. È risultato sicuro e senza effetti collaterali rilevanti, inducendo risposte misurabili agli epitopi conservati di SARS-CoV-1 e SARS-CoV-2 ed estese ai virus dei pipistrelli. Il dato che ridimensiona l'entusiasmo, però, è nello studio originale: l'immunogenicità è stata "modesta" a causa dell'elevata immunità preesistente dei partecipanti e delle ondate di Omicron durante l'arruolamento. La fase 1 dimostra sicurezza, non efficacia; seguirà una fase 2 su una popolazione più ampia e diversificata. I risultati sono pubblicati sul Journal of Infection (giugno 2026).

Perché conta

• RICERCA DI FRONTIERA: È un precedente metodologico: per la prima volta l'antigene attivo di un vaccino arriva sull'uomo dopo essere stato interamente progettato al computer su un'intera famiglia virale. Ma l'immunogenicità modesta ricorda che il design AI-driven accorcia i tempi di progettazione, non sostituisce la validazione clinica: il collo di bottiglia resta il trial.
• UTENTI FINALI: La promessa è un vaccino "universale" capace di coprire in anticipo i coronavirus futuri, utile contro le prossime pandemie. Ma siamo alla fase 1: provata solo la sicurezza, risposta immunitaria ancora contenuta e anni di sviluppo davanti prima di un eventuale uso pubblico.

NVIDIA lancia Cosmos 3, l'omnimodello aperto per l'AI fisica

Al COMPUTEX 2026 NVIDIA presenta un foundation model aperto che unifica ragionamento visivo, generazione del mondo e predizione dell'azione in un'unica architettura Mixture-of-Transformers, con pesi scaricabili sotto licenza OpenMDW.

NVIDIA ha presentato Cosmos 3 il 31 maggio 2026 al GTC Taipei, in occasione del COMPUTEX 2026, definendolo il primo omnimodello completamente aperto per l'AI fisica. Il modello unifica in un solo sistema ragionamento visivo, generazione del mondo e predizione dell'azione, ed è in grado di comprendere e generare testo, immagini, video, suono ambientale e azioni.

Sul piano architetturale Cosmos 3 adotta un design Mixture-of-Transformers, che accoppia un transformer di ragionamento a un transformer esperto di generazione. Nel dettaglio, il primo interpreta gli eventi della scena — interazioni tra oggetti, movimento, relazioni spazio-temporali — prima che il secondo produca video e traiettorie d'azione fisicamente plausibili. La generazione nativa dell'azione restituisce dati numerici come angoli di giunto, posizioni del gripper e punti di traiettoria. Sono utilizzabili come dati d'azione o traiettorie per addestrare, valutare o specializzare policy robotiche, previa integrazione e validazione sullo specifico embodiment.

La famiglia comprende Cosmos 3 Nano, indicato da NVIDIA come modello da 16 miliardi di parametri, e Cosmos 3 Super da 64 miliardi (repository ufficiale Cosmos). I due transformer della Mixture-of-Transformers sono, rispettivamente, un transformer autoregressivo per il reasoning e un diffusion transformer per la generazione. Una variante Edge per l'inferenza in tempo reale è annunciata come in arrivo. I pesi escono con licenza aperta OpenMDW 1.1 della Linux Foundation, scaricabili da Hugging Face e distribuibili come microservizi NVIDIA NIM. Addestrato su miliardi di campioni multimodali, secondo NVIDIA riduce "da mesi a giorni" i cicli di training e valutazione dell'AI fisica.

NVIDIA rivendica il primo posto su numerosi leaderboard (Artificial Analysis, Physics-IQ, PAI-Bench, R-Bench). L'analisi indipendente precisa però che il primato è circoscritto ai modelli a pesi aperti: su immagine e video Cosmos 3 si colloca dietro al modello proprietario Nano Banana 2. Al lancio è stata costituita la Cosmos Coalition con Agile Robots, Black Forest Labs, Runway e Skild AI.

Perché conta

• INGEGNERI ICT / IT MANAGER: Un foundation model per la robotica e i sistemi industriali con pesi aperti, già pacchettizzato come microservizi NIM e distribuibile on-prem tramite NIM/container, abbassa la barriera per portare automazione e percezione in produzione. I pesi aperti e la licenza OpenMDW riducono alcune barriere di portabilità, mentre NIM resta una via di deployment NVIDIA da valutare rispetto allo stack esistente; una variante Edge per inferenza real-time è annunciata come in arrivo. La promessa di comprimere da mesi a giorni i cicli di training e valutazione accorcia i tempi (e i costi) di adozione, ma va validata sul proprio caso d'uso prima di metterla a budget.
• LLM BUILDER/DEV: Due taglie trattabili (16B e 64B) con architettura Mixture-of-Transformers che separa reasoner autoregressivo e generatore a diffusione, pesi aperti sotto OpenMDW 1.1 e output di azione nativo: una base concreta da studiare, post-addestrare ed estendere per policy di physical AI. Attenzione però al claim di leadership: il primo posto è circoscritto ai modelli a pesi aperti — dietro al proprietario Nano Banana 2 su immagine e video — quindi i benchmark vanno riverificati sul task reale.

Patch Tuesday da record per Microsoft: quasi 200 fix e un bypass di BitLocker conteso

Il più grande Patch Tuesday di sempre — circa 200 correzioni, spinte anche dall'AI — porta in primo piano YellowKey. È il bypass di BitLocker via Windows Recovery il cui proof-of-concept è uscito fuori dalla divulgazione coordinata.

Il Patch Tuesday di giugno 2026 è il più grande mai rilasciato da Microsoft: quasi 200 vulnerabilità corrette in Windows e nei prodotti collegati. È un volume record che TechRadar attribuisce in parte alla scoperta di bug guidata dall'AI. Due falle spiccano, entrambe attribuite al ricercatore noto come Chaotic Eclipse (alias Nightmare-Eclipse): GreenPlasma (CVE-2026-45586), elevazione di privilegi nel Windows Collaborative Translation Framework con severità 7.8, e YellowKey (CVE-2026-45585), un bypass di BitLocker valutato 6.8.

YellowKey non rompe la crittografia: ne aggira il perimetro. L'attaccante deposita log di transazione NTFS malevoli nella cartella System Volume Information\FsTx, su una chiavetta USB o sulla partizione EFI. Al riavvio in Windows Recovery Environment il sistema li riproduce, cancella winpeshl.ini e ripiega su cmd.exe invece dell'interfaccia di ripristino bloccata. A quel punto il TPM ha già decifrato il volume. L'attaccante ottiene così una shell amministrativa su un disco che BitLocker crede ancora protetto, in pochi passaggi dopo l'avvio in WinRE, come documenta l'analisi di Eclypsium. La tecnica richiede accesso fisico e riusa un comportamento legittimo di WinRE: è la seconda famiglia di bypass via recovery in undici mesi, dopo BitUnlocker.

Il caso è conteso sul piano della disclosure. Il ricercatore ha pubblicato il proof-of-concept su GitHub fuori dalla divulgazione coordinata. BleepingComputer riferisce che esperti come Kevin Beaumont e Will Dormann ne hanno confermato il funzionamento. Microsoft non ha accreditato l'autore e in un primo momento ha minacciato azioni legali, salvo poi fare marcia indietro dopo il backlash. BleepingComputer riferisce che la società ha dichiarato che coinvolgerà le forze dell'ordine solo se un ricercatore «viola la legge e compie attività malevole con danno reale ai clienti», non per chi conduce o pubblica ricerca di sicurezza. L'exploit pubblico colpisce solo le configurazioni TPM-only (default su gran parte dei Windows 11). La mitigazione riconosciuta contro il PoC è richiedere un PIN all'avvio (TPM+PIN). Eclypsium avverte però che una password UEFI/BIOS è solo un controllo secondario: non chiude il percorso in cui l'attaccante estrae il disco, modifica la partizione EFI su un altro PC e lo rimonta nella macchina. Il ricercatore, dal canto suo, afferma di possedere una variante non rilasciata capace di neutralizzare anche il PIN.

Perché conta

• INGEGNERI ICT / IT MANAGER: Il volume record impone di accelerare test e rollout su endpoint e server (sono coinvolti anche Windows Server 2022/2025). La priorità, però, è YellowKey: va rivista la policy BitLocker di flotta passando da TPM-only a TPM+PIN via GPO/PowerShell, la mitigazione riconosciuta contro il PoC pubblico. La password UEFI/BIOS resta solo un controllo secondario e — avverte Eclypsium — non blocca il percorso in cui l'attaccante estrae il disco e modifica la partizione EFI. La disclosure non coordinata è inoltre un campanello per irrobustire l'intake delle segnalazioni esterne.
• UTENTI FINALI: Il bypass di BitLocker richiede accesso fisico al dispositivo, non funziona da remoto: la difesa pratica è installare subito l'aggiornamento e custodire il portatile. Chi conserva dati sensibili dovrebbe valutare l'aggiunta di un PIN all'avvio.