La VPN non basta: Windows può riconoscere il dispositivo tramite GDID

Windows e GDID: il caso che dimostra perché la VPN non basta
Privacy · Windows · Aggiornato: 9 luglio 2026
Ricostruzione basata sul comunicato del Dipartimento di Giustizia USA e su reportage tecnici che citano gli atti del procedimento.

Un presunto membro del gruppo Scattered Spider sarebbe stato collegato dagli investigatori a un identificatore di Windows che l'uso della VPN non è riuscito ad aggirare. Il caso è un buon punto di partenza per capire cosa protegge davvero una VPN, e cosa resta comunque visibile al sistema operativo.

Fonte della notizia

Il 1° luglio 2026 il Dipartimento di Giustizia USA ha annunciato ufficialmente l'estradizione e l'incriminazione di Peter Stokes, presunto membro di Scattered Spider. I dettagli tecnici sul ruolo del GDID nell'indagine emergono dagli atti del procedimento, così come ricostruiti dalla stampa tecnica specializzata.

Trasparenza

Questo articolo è informativo. Eventuali consigli o link commerciali saranno sempre indicati in modo trasparente.

In breve

Il GDID (Global Device Identifier) è un identificatore persistente che Windows associa all'account Microsoft. Secondo le ricostruzioni tecniche, può restare collegato a quell'account anche dopo modifiche locali, e non dipende solo dalle impostazioni privacy tradizionali. Una VPN cambia l'indirizzo IP visibile, ma non elimina di per sé questo tipo di segnale generato dal sistema operativo.

Caso pubblico
1 luglio 2026 Il DOJ annuncia ufficialmente l'estradizione di Peter Stokes.
Da quando esiste
Da Windows 10 Secondo le ricostruzioni tecniche, l'origine risale al lancio del 2015.
Cosa non basta a evitarlo
Solo la VPN Il GDID è legato alla connessione tra dispositivo e account Microsoft.

Secondo le ricostruzioni tecniche del caso, Windows può continuare ad associare un dispositivo all'account Microsoft tramite identificatori interni, anche quando l'indirizzo IP visibile cambia grazie a una VPN. È il punto centrale della vicenda che sto per raccontare, ed è un buon promemoria su cosa una VPN protegge davvero — e cosa no.

✍️ Rocco Caiazza — Fondatore di ScelgoIo | Luglio 2026

Windows e GDID: il caso che dimostra perché la VPN non basta

Ho già scritto cosa protegge davvero una VPN e quando non basta: il concetto centrale è che una VPN cifra il traffico di rete, non ti rende invisibile a ogni livello del sistema operativo. Il caso che segue è un esempio concreto di questo principio, ed è finito dritto in un'aula di tribunale.

01

Cos'è successo: il caso Scattered Spider

Peter Stokes, cittadino statunitense-estone di 19 anni, è stato arrestato in Finlandia nell'aprile 2026 in seguito a un Interpol Red Notice, mentre tentava di imbarcarsi per il Giappone. Il 1° luglio 2026 il Dipartimento di Giustizia americano ha annunciato ufficialmente la sua estradizione, con un'incriminazione per associazione a delinquere, intrusione informatica e frode legata al gruppo Scattered Spider.

Secondo le ricostruzioni della stampa tecnica basate sugli atti del procedimento, gli investigatori avrebbero ottenuto da Microsoft i registri collegati a un GDID specifico, associato alla creazione di un account su un servizio di tunneling (ngrok) usato dal gruppo. Quel GDID sarebbe poi stato correlato a un indirizzo IP in Estonia, dove risiedeva Stokes — nonostante l'uso di una VPN commerciale. Va precisato che il GDID risulta uno degli elementi usati nell'indagine, non necessariamente l'unico fattore determinante per l'identificazione.

Un altro dettaglio interessante emerso dagli atti: Microsoft avrebbe segnalato attività riconducibili a Stokes alle autorità già in una comunicazione dell'ottobre 2024, sulla base di analisi interne dei propri servizi. Questo suggerisce che il collegamento tra il GDID e l'identità del sospettato non sia avvenuto in un unico passaggio, ma come parte di un lavoro investigativo prolungato nel tempo, che ha incrociato più fonti — inclusi i registri di ngrok e di un fornitore VPN chiamato Tzulo.

02

Chi è Scattered Spider e perché fa notizia

Scattered Spider, noto anche con i nomi Octo Tempest, UNC3944 o 0ktapus a seconda dell'azienda di sicurezza che lo traccia, è uno dei gruppi di cybercriminalità più seguiti degli ultimi anni. Secondo il Dipartimento di Giustizia, il gruppo sarebbe collegato a oltre 100 intrusioni in reti aziendali, con più di 100 milioni di dollari in pagamenti di riscatto e ulteriori milioni in danni indiretti alle vittime.

A differenza di molti gruppi ransomware, Scattered Spider si distingue per l'uso massiccio di tecniche di social engineering piuttosto che di vulnerabilità software: i suoi membri si fingono dipendenti al telefono con gli help desk aziendali, convincendo il personale IT a resettare password o dispositivi di autenticazione a due fattori. Il gruppo è stato collegato in passato a intrusioni di alto profilo, tra cui gli attacchi a MGM Resorts e Caesars Entertainment a Las Vegas, e all'attacco del 2024 contro Transport for London.

Il caso di Stokes si inserisce in una serie di arresti recenti che stanno progressivamente disarticolando il gruppo: Tyler Buchanan, descritto come uno dei possibili organizzatori, si è dichiarato colpevole negli Stati Uniti nell'aprile 2026; Noah Urban è stato condannato a 10 anni di carcere nell'agosto 2025; Thalha Jubair e Owen Flowers, due giovani britannici, si sono dichiarati colpevoli nel giugno 2026 per l'attacco a Transport for London. È in questo contesto — una rete di indagini internazionali che incrociano più fonti di dati — che il ruolo del GDID nel caso Stokes va inquadrato: non come uno strumento isolato, ma come un tassello tra molti.

03

Cos'è il GDID e perché la VPN non basta da sola

Il GDID (Global Device Identifier) è un identificatore che Windows associa a un'installazione nel momento in cui questa viene collegata a un account Microsoft. Non è un numero seriale dell'hardware: nasce dalla connessione tra il dispositivo e l'account, non dal componente fisico in sé.

Secondo le ricostruzioni tecniche pubblicate dopo il caso, il meccanismo funzionerebbe così: quando un utente accede a Windows con le credenziali del proprio account Microsoft, il servizio Microsoft Account del sistema registra il dispositivo presso i server dell'azienda e riceve indietro un identificatore univoco, descritto in alcune analisi come un "Device PUID" a 64 bit. Questo valore verrebbe poi salvato localmente, ma anche letto e sincronizzato da altri componenti di Windows legati all'ecosistema Microsoft — in particolare il Connected Devices Platform, un servizio che gestisce la sincronizzazione tra i dispositivi collegati allo stesso account, e il servizio Delivery Optimization, normalmente usato per ottimizzare la distribuzione degli aggiornamenti. È proprio questa architettura a spiegare perché il GDID, secondo le analisi indipendenti, non dipenderebbe unicamente dai canali di telemetria diagnostica che la maggior parte degli utenti conosce e può disattivare dalle impostazioni privacy standard.

Questa parte è per chi vuole il dettaglio tecnico più fine. Se vuoi solo sapere cosa fare, puoi saltarla e andare direttamente alla sezione pratica più sotto.

Per i tecnici: dove viene registrato il valore secondo le analisi pubblicate
Analisi indipendenti condotte su Windows 11 riportano che il valore sarebbe salvato in una chiave di registro locale sotto il percorso relativo all'identità dell'account Microsoft collegato, e che verrebbe registrato nel cosiddetto "grafo dei dispositivi" (Device Directory Service) associato all'account. Non esiste, al momento, una documentazione tecnica ufficiale e dettagliata pubblicata direttamente da Microsoft su questo meccanismo: quanto riportato qui deriva da ricostruzioni di ricercatori indipendenti e testate tecniche, non da una fonte primaria Microsoft.
In parole semplici

Una VPN protegge il traffico che esce dal tuo dispositivo verso internet: nasconde l'indirizzo IP e cifra la connessione. Il GDID, secondo le ricostruzioni tecniche disponibili, opererebbe a un livello diverso, legato alla connessione tra dispositivo e account Microsoft più che al singolo percorso di rete. Cambiare VPN non elimina automaticamente questo tipo di segnale, se il sistema resta collegato allo stesso account.

Questo non significa che una VPN sia inutile: significa solo che va capita bene. Ho spiegato meglio questo limite anche nella guida su VPN su Wi-Fi pubblico: serve davvero?, dove il punto è lo stesso: la VPN protegge la connessione, ma non cancella tutto ciò che app, account e sistema operativo possono comunicare separatamente.

Un dettaglio spesso frainteso: secondo le ricostruzioni tecniche, il GDID non dipenderebbe solo dalle impostazioni privacy tradizionali di Windows, e una reinstallazione del sistema può generare un nuovo identificatore — ma quel nuovo identificatore può ricollegarsi rapidamente allo stesso account Microsoft se il dispositivo viene ri-registrato con le stesse credenziali. Non si tratta quindi di un'impronta che sopravvive letteralmente al reset, ma di un legame che può riformarsi in fretta.

È lo stesso ragionamento che vale anche fuori da Windows: il tracciamento non passa sempre dall'indirizzo IP. In questa guida ho mostrato come Google può associare attività e dispositivi anche senza usare direttamente il GPS.

Su questo punto manca una fonte primaria diretta: non risulta un comunicato ufficiale Microsoft che descriva nel dettaglio il funzionamento del GDID. Quanto riportato negli articoli tecnici citati in fondo a questo pezzo si basa su analisi indipendenti di ricercatori e testate specializzate, non su documentazione Microsoft pubblicata direttamente.

04

Altri identificatori che Windows può generare

Il GDID non è l'unico identificatore che un sistema Windows può generare, ed è utile avere un quadro più ampio per non farsi un'idea distorta — pensando che esista un solo punto debole da correggere.

Advertising ID Usato per la pubblicità personalizzata nelle app. A differenza del GDID, può essere reimpostato o disattivato dall'utente dalle impostazioni privacy.
Dati di diagnostica Raccolti tramite il servizio DiagTrack, regolabili tramite il livello "Basilare" o "Facoltativo" nelle impostazioni privacy di Windows.
Identificatori di licenza e attivazione Legati alla verifica della licenza Windows, generati indipendentemente dall'account Microsoft.
Fingerprinting del browser Non specifico di Windows: combinazioni di font, risoluzione, plugin e configurazioni possono identificare un dispositivo indipendentemente dal sistema operativo usato.

Il punto centrale, anche secondo gli analisti di sicurezza che hanno commentato il caso, è che il GDID sia solo uno dei tanti modi in cui un dispositivo può essere identificato in modo univoco nel software moderno. Praticamente ogni sistema operativo, browser o applicazione ha bisogno di qualche forma di identificatore per gestire licenze, sincronizzazione, attivazioni o rilevamento hardware — e ognuno di questi, in linea di principio, può essere richiesto da un'autorità tramite un ordine legale rivolto all'azienda che lo gestisce.

05

Cosa dice la community privacy

La diffusione della notizia ha generato una discussione ampia tra utenti Windows e ricercatori di sicurezza, in gran parte concentrata non sul fatto che un presunto criminale sia stato identificato — accolto generalmente in modo positivo — ma sulla scarsa trasparenza intorno al meccanismo stesso.

Su Reddit, diversi utenti hanno commentato con reazioni contrastanti: da chi si dice "contento che un cybercriminale sia stato fermato, ma è un altro buon motivo per passare a Linux", a chi sottolinea di non essere mai stato informato dell'esistenza di un identificatore di questo tipo, né del fatto che possa essere condiviso con le autorità. Un ricercatore di privacy che si firma "IT Guy" ha fatto notare, secondo quanto riportato da Cybernews, che Microsoft non avrebbe una policy pubblica chiara su quando il GDID venga condiviso, né un meccanismo di opt-out conosciuto, né report di trasparenza che coprano specificamente le richieste relative a questo identificatore.

Va detto, per completezza, che questo tipo di reazione è comune ogni volta che emerge un meccanismo di raccolta dati poco documentato: non implica necessariamente un abuso, ma riflette un desiderio legittimo di maggiore chiarezza su cosa viene raccolto e in quali circostanze può essere condiviso con soggetti terzi, comprese le autorità.

06

Cosa puoi fare, in pratica

Prima di tutto una premessa onesta: per la stragrande maggioranza degli utenti Windows, il GDID non rappresenta un rischio pratico quotidiano. È emerso in un'indagine penale con richiesta formale a Microsoft, non in una sorveglianza di massa degli utenti comuni. Detto questo, ecco cosa puoi valutare se la tua priorità è capire meglio cosa il tuo sistema comunica, con qualche dettaglio pratico in più su ogni singolo passaggio.

Vale anche il ragionamento opposto: non basta scegliere una VPN, bisogna anche scaricarla dal posto giusto. Ne ho parlato nella guida sulle VPN false su Google e i finti download che rubano password.

Per utenti comuni: i 5 punti essenziali
  • Usa un account Microsoft solo se ti serve davvero (sincronizzazione, Store, licenze).
  • In Impostazioni → Privacy e sicurezza, rivedi in particolare "Cronologia attività" e "Diagnostica e feedback".
  • Non dare per scontato che la VPN ti renda anonimo al 100% a ogni livello.
  • Usa password diverse per ogni servizio e attiva sempre la 2FA dove disponibile.
  • Evita software pirata o tool "anti-tracciamento" di dubbia provenienza: spesso aumentano il rischio invece di ridurlo.
1
Valuta un account locale Durante l'installazione di Windows 11, verifica se è disponibile l'opzione per creare un account locale oppure per configurare il dispositivo senza collegarlo subito a un account Microsoft. Le opzioni possono cambiare in base all'edizione e alla versione di Windows. Il GDID nasce dal collegamento a un account Microsoft: un account locale riduce questo tipo di associazione, pur senza garanzie assolute su altri identificatori di sistema.
2
Rivedi la Cronologia attività Vai in Impostazioni → Privacy e sicurezza → Cronologia attività e disattiva la raccolta e la sincronizzazione. Riduce la quantità di dati inviati verso l'account Microsoft collegato, anche se non agisce direttamente sul GDID.
3
Imposta il livello diagnostica su "Basilare" In Impostazioni → Privacy e sicurezza → Diagnostica e feedback, scegli il livello minimo disponibile. Riduce la quantità di dati diagnostici raccolti, pur non intervenendo sui canali separati usati dal GDID secondo le ricostruzioni tecniche.
4
Considera la VPN uno strumento, non uno scudo totale Protegge il traffico di rete, non tutti i segnali che il dispositivo può generare in autonomia. Usala insieme, non al posto di, buone pratiche di gestione account e password.

Per ridimensionare il rischio reale: il GDID diventa rilevante soprattutto in un contesto di indagine legale formale, con una richiesta specifica indirizzata a Microsoft, non come strumento di sorveglianza attiva sugli utenti comuni. Le indicazioni sopra servono più a capire meglio il proprio sistema che a "sparire" da ogni possibile tracciamento, obiettivo che, come mostra questo stesso caso, è comunque difficile da raggiungere del tutto.

Quick checklist — prima di fidarti ciecamente della VPN
Usi un account Microsoft su Windows? Il tuo dispositivo ha probabilmente un GDID associato.
Hai disattivato la telemetria dalle impostazioni? Secondo le ricostruzioni tecniche, non è sufficiente da sola a rimuovere il GDID.
Hai reinstallato Windows di recente? Ottieni un nuovo GDID, ma può ricollegarsi in fretta allo stesso account.
Pensi che la VPN ti renda anonimo al 100%? Questo caso mostra che non è così a ogni livello del sistema.
📚 Fonti per approfondire
07

Domande frequenti

Il GDID riguarda anche chi usa un account locale su Windows? +
Il GDID nasce nel momento in cui il dispositivo si collega a un account Microsoft. Chi usa solo un account locale riduce questo tipo di associazione, senza però che sia una garanzia assoluta rispetto ad altri identificatori di sistema.
Devo preoccuparmi se uso Windows per lavoro e navigazione normale? +
No. Il GDID è diventato rilevante in un'indagine penale con richiesta formale a Microsoft, non in una sorveglianza generalizzata. È utile conoscerlo per avere aspettative realistiche su cosa una VPN può e non può proteggere.
Cancellare manualmente il GDID lo elimina davvero? +
Secondo le analisi tecniche indipendenti riportate dalla stampa, il valore tenderebbe a ripresentarsi dopo la sincronizzazione con l'account Microsoft collegato. Non esiste al momento una conferma ufficiale diretta di Microsoft su questo comportamento.
Una VPN gratuita o a pagamento fa differenza in questo caso? +
No: qualunque VPN protegge il traffico di rete e l'indirizzo IP visibile, ma secondo le ricostruzioni disponibili non interviene sugli identificatori legati all'account che il sistema operativo può comunicare separatamente.
Il GDID è l'unico modo in cui Windows può identificare un dispositivo? +
No. Windows può generare anche altri identificatori, come l'Advertising ID o i dati di diagnostica, ma questi sono in genere configurabili dall'utente. Anche altri servizi e browser hanno bisogno di identificatori simili per licenze, sincronizzazione e attivazioni.
Rocco Caiazza
Rocco Caiazza Fondatore di ScelgoIo · Luglio 2026
Chi è Rocco →

Autore: Rocco Caiazza – Fondatore di ScelgoIo