Rubrica Sicurezza Informatica a cura di Docline Service & Networking
GDID: Global Device Identifier
A inizio luglio 2026 è stata resa pubblica negli Stati Uniti la denuncia federale contro Peter Stokes, presunto membro del gruppo di hacker Scattered Spider. Il caso ha riportato l’attenzione su un identificatore poco conosciuto ma da tempo presente in ogni installazione Windows: il Global Device Identifier (GDID). Ecco cosa è realmente, separando i fatti verificati dalle esagerazioni circolate online, e come ridurre concretamente i dati che il tuo PC invia a Microsoft.
In breve: il GDID non è un fingerprint hardware indistruttibile. È un identificativo a 64 bit legato all’account Microsoft, assegnato al momento della registrazione del dispositivo. Una reinstallazione pulita ne genera uno nuovo. Con account locale, però, un percorso “anonimo” del sistema può comunque assegnarne uno.
Il caso che ha acceso i riflettori
Secondo la denuncia depositata, Stokes avrebbe violato un rivenditore di gioielleria di lusso nel maggio 2025 utilizzando una VPN, il che normalmente avrebbe reso molto più difficile risalire alla sua identità e posizione reale. Le indagini avrebbero però collegato l’attività a un identificativo persistente del dispositivo Windows, associando indirizzi IP, timestamp e strumenti usati durante gli attacchi.
Un portavoce Microsoft citato negli atti descrive il GDID come un identificatore persistente a livello di dispositivo, pensato per riconoscere in modo univoco un’installazione Windows su un dispositivo fisico o una macchina virtuale, in determinati servizi e scenari Microsoft.
Cosa NON è il GDID (le esagerazioni da correggere)
Dopo la diffusione della notizia, sui social sono circolate diverse versioni imprecise: un identificatore a 128 bit generato dai numeri seriali dell’hardware, immutabile e impossibile da rimuovere. Un’analisi tecnica indipendente, basata sul reverse engineering dei binari di sistema e su acquisizioni ETW reali, ha smontato entrambe le affermazioni.
- Non è a 128 bit: il valore riportato negli atti giudiziari è un numero a 64 bit
- Non deriva dall’hardware: è un Device PUID (Passport Unique ID) assegnato dal server login.live.com quando il dispositivo si registra con un account Microsoft
- Non è immutabile: una reinstallazione pulita di Windows genera un nuovo GDID
- Non richiede necessariamente un account Microsoft: il Connected Devices Platform (CDP) dispone di un percorso “anonimo” che può comunque assegnare un identificativo anche con un account locale
Il valore tecnico viene salvato nel registro di sistema e propagato attraverso il Connected Devices Platform (i servizi CDPSvc e CDPUserSvc), lo stesso sottosistema che gestisce funzioni come Collegamento al telefono e la sincronizzazione degli appunti nel cloud. Emerge pubblicamente anche in un’unica documentazione ufficiale Microsoft: la colonna GlobalDeviceId nella tabella UCDOStatus di Delivery Optimization/Update Compliance su Azure Monitor, descritta come identificatore usato internamente da Microsoft.
Perché conta comunque: anche senza essere un fingerprint hardware indistruttibile, il GDID resta uno strumento potente. Non serve un cookie del browser: l’identificativo può essere associato a visite a servizi di terze parti e ai relativi orari, permettendo in teoria di ricostruire l’attività online di un dispositivo indipendentemente dalla rete o dalla VPN usata.
Come ridurre al minimo i dati inviati a Microsoft
Non esiste un interruttore consumer per azzerare completamente la telemetria: solo le edizioni Enterprise ed Education permettono di disattivare del tutto i dati diagnostici tramite Criteri di gruppo. Su Home e Pro è però possibile ridurre in modo sostanziale la superficie di dati raccolti.
| FARE | NON FARE |
|---|---|
| Usare un account locale invece di un account Microsoft, dove possibile | Presumere che l’account locale elimini del tutto il tracciamento (il percorso CDP anonimo resta attivo) |
| Impostare i dati diagnostici su “Solo dati richiesti” (Impostazioni → Privacy e sicurezza → Diagnostica e feedback) | Lasciare attivi “Esperienze su misura” e invio dati diagnostici opzionali |
| Disattivare Cronologia attività e relativo invio a Microsoft | Accettare le impostazioni “consigliate” durante la configurazione iniziale (OOBE) |
| Disattivare l’ID pubblicitario in Privacy e sicurezza → Generale | Ignorare gli aggiornamenti che possono riattivare i servizi di telemetria |
| Su Pro/Enterprise: usare Criteri di gruppo per limitare i dati diagnostici e disattivare i servizi Connected Devices Platform non necessari | Disattivare DiagTrack pensando che questo elimini anche il GDID (il CDP è un canale separato) |
| Monitorare le connessioni verso i domini di telemetria Microsoft con un firewall o un sinkhole DNS | Affidarsi solo a tool di “debloat” generici senza verificarne l’effetto reale sul traffico |
Nota per un audit di conformità
Per un cliente che tratta dati personali su postazioni Windows, vale la pena documentare questo punto in una valutazione d’impatto o in un audit GDPR: il GDID può, in determinati scenari, collegare un’installazione Windows a servizi di terze parti e relativi orari di accesso, un flusso di dati che l’organizzazione potrebbe non aver mappato tra i trattamenti verso paesi terzi. La raccomandazione pratica resta la stessa data ai clienti in altri contesti: ridurre al minimo la telemetria opzionale, preferire account locali dove il flusso di lavoro lo consente, e verificare periodicamente le impostazioni dopo i major update, che possono resettare alcune configurazioni di privacy.
Fonti: denuncia federale United States v. Peter Stokes (N.D. Ill., luglio 2026) · documentazione pubblica Microsoft Azure Monitor (UCDOStatus.GlobalDeviceId) · analisi tecnica indipendente basata su reverse engineering e cattura ETW
Docline Service & Networking — Consulenza IT, sicurezza informatica e conformità GDPR per aziende. www.docsnet.it