Supporto Windows 14 min di lettura

Windows 11 Non Si Avvia Dopo l'Aggiornamento 2026: Guida Helpdesk KB5074109 e KB5077181

Il tuo PC Windows 11 non si avvia dopo KB5074109 o KB5077181? Guida operativa per helpdesk IT con procedure WinRE, comandi DISM/PowerShell, gestione BitLocker e strategie enterprise per SCCM, Intune e WSUS.

Editorial Team

Se siete finiti su questa pagina, probabilmente state vivendo uno dei momenti peggiori della vostra carriera da helpdesk. Il telefono squilla senza sosta, le mail si accumulano e la frase "il mio PC non si avvia" è diventata il vostro incubo ricorrente. Vi capisco perfettamente.

Gli aggiornamenti cumulativi di gennaio e febbraio 2026 per Windows 11 — KB5074109 e KB5077181 — hanno scatenato il caos in aziende di ogni dimensione. Schermate blu con UNMOUNTABLE_BOOT_VOLUME, boot loop infiniti, connettività Internet sparita nel nulla, BitLocker che chiede chiavi di ripristino che nessuno trova al volo. Insomma, il pacchetto completo.

Questa guida è pensata per chi lavora in prima linea nel supporto IT. Niente teoria fine a sé stessa: troverete procedure testate, comandi pronti da copiare e incollare e strategie per proteggere l'intero parco macchine. Andiamo dritti al punto.

Cosa È Successo con gli Aggiornamenti di Inizio 2026

KB5074109 — Il Problema di Gennaio

Rilasciato il 13 gennaio 2026 come aggiornamento cumulativo di sicurezza per Windows 11 versioni 24H2 (build 26100.7623) e 25H2 (build 26200.7623), KB5074109 doveva correggere vulnerabilità critiche come CVE-2026-20805 e CVE-2026-21265. Fin qui, tutto normale.

Il problema? Su parecchi PC aziendali, l'aggiornamento ha mandato in tilt il boot del sistema.

La causa di fondo è piuttosto subdola: alcuni dispositivi non avevano completato correttamente un aggiornamento precedente (quello di dicembre 2025) e si ritrovavano in uno stato di servicing inconsistente. Quando KB5074109 ha provato a modificare componenti critici del boot stack, la combinazione con quello stato già compromesso ha generato il temuto UNMOUNTABLE_BOOT_VOLUME (Stop Code 0xED). Una bella grana, specialmente su macchine con BitLocker attivo.

KB5077181 — Febbraio Non Ha Migliorato le Cose

Rilasciato il 10 febbraio 2026 come Patch Tuesday, KB5077181 avrebbe dovuto essere la soluzione definitiva ai problemi di gennaio. Ha corretto 58 vulnerabilità, incluse 6 zero-day attivamente sfruttate. Sulla carta, un aggiornamento importante.

Nella pratica, per un numero tutt'altro che trascurabile di sistemi, ha portato nuovi grattacapi:

  • Boot loop infinito — riavvii ciclici, anche 15-20 di fila senza mai completare il boot
  • Errori DHCP — il Wi-Fi sembra connesso ma Internet non funziona (uno di quegli errori che fa impazzire gli utenti)
  • Errori SENS — il servizio System Event Notification Service non parte, bloccando l'accesso al profilo utente
  • Errori di installazione — codici 0x800f0983 e 0x800f0991 che non lasciano completare l'update
  • Incompatibilità software — in particolare con Wibu-Systems CodeMeter e app protette da AxProtector

Triage Rapido: Capire il Problema in 5 Minuti

Quando un utente chiama con il classico "il mio PC non si avvia", la prima cosa da fare è inquadrare lo scenario. Ecco i quattro casi principali che vi troverete davanti.

Scenario A: Schermata Blu con UNMOUNTABLE_BOOT_VOLUME

Quasi certamente causato da KB5074109. Il sistema non riesce a montare la partizione di avvio. Se c'è BitLocker attivo, preparate la chiave di ripristino — vi servirà subito.

Scenario B: Boot Loop con Riavvii a Catena

Con ogni probabilità è colpa di KB5077181. Il PC tenta di avviarsi, fallisce, si riavvia, e così via all'infinito. La buona notizia: dopo 3 tentativi falliti, dovrebbe attivarsi automaticamente il Windows Recovery Environment (WinRE).

Scenario C: Si Riesce a Fare Login, Ma il Sistema è Instabile

L'utente accede al desktop ma si ritrova senza rete, con errori SENS o con un profilo utente caricato a metà. In questo caso potete lavorare direttamente da Windows, senza passare da WinRE.

Scenario D: L'Aggiornamento Non Si Installa

Il sistema funziona, ma Windows Update continua a riproporre l'aggiornamento che fallisce ogni volta. Codici tipici: 0x800f0983, 0x800f0991, 0x800f082f. Fastidioso, ma almeno il PC è utilizzabile.

Procedura di Ripristino: Scenario A — UNMOUNTABLE_BOOT_VOLUME

Questo è lo scenario più critico. Prendetevi un caffè, armatevi di pazienza e seguite questi passaggi.

Passo 1: Entrare in WinRE

Se il sistema non parte proprio, avete due strade:

  • Metodo "forza bruta": spegnete il PC tenendo premuto il pulsante di accensione, tre volte di fila durante il tentativo di boot. Al quarto tentativo WinRE si avvia da solo. Non è elegante, ma funziona.
  • Metodo con chiavetta USB: avviate da un supporto USB con Windows 11, selezionate "Ripristina il computer" e poi Risoluzione dei problemi → Opzioni avanzate.

Passo 2: Gestire BitLocker (Se Presente)

Se il disco è cifrato con BitLocker, WinRE chiederà la chiave di ripristino a 48 cifre. Dove recuperarla:

  • Azure AD/Entra ID: portale admin → dispositivo → chiavi di ripristino BitLocker
  • Active Directory: proprietà del computer in ADUC → scheda BitLocker Recovery
  • Microsoft Intune: portale Intune → Dispositivi → dispositivo → Chiavi di ripristino
  • MBAM: portale self-service oppure console admin MBAM

Attenzione: c'è un bug noto di KB5074109 per cui la chiave viene accettata ma il volume non si sblocca. Se succede, passate al Prompt dei comandi di WinRE:

:: Sbloccare il volume BitLocker manualmente
manage-bde -unlock C: -RecoveryPassword 123456-789012-345678-901234-567890-123456-789012-345678

:: Sospendere temporaneamente la protezione BitLocker
manage-bde -protectors -disable C:

Passo 3: Rimuovere l'Aggiornamento da WinRE

Adesso viene la parte importante. Dal Prompt dei comandi in WinRE:

:: Metodo 1: Tramite WUSA (il più rapido)
wusa /uninstall /kb:5074109 /quiet /norestart

:: Metodo 2: Tramite DISM (se WUSA non collabora)
:: Prima controllate quale lettera ha il volume Windows (in WinRE potrebbe non essere C:)
bcdedit

:: Elencate i pacchetti installati
dism /Image:D:\ /Get-Packages | findstr "RollupFix"

:: Rimuovete il pacchetto
dism /Image:D:\ /Remove-Package /PackageName:Package_for_RollupFix~31bf3856ad364e35~amd64~~26200.7623.1.2

Un dettaglio che in molti dimenticano: in WinRE la lettera del volume di sistema può cambiare. Usate bcdedit per verificare quale sia quella giusta prima di lanciare DISM.

Passo 4: Riparare i File di Sistema

Dopo aver rimosso l'aggiornamento, conviene fare un po' di pulizia:

:: Verifica e riparazione del file system
chkdsk /f C:

:: Controllo integrità dei file di sistema (offline)
sfc /scannow /offbootdir=D:\ /offwindir=D:\Windows

:: Ricostruzione BCD (se il boot è ancora problematico)
bcdedit /export C:\bcdbackup
attrib C:\boot\bcd -r -s -h
ren C:\boot\bcd bcd.old
bootrec /rebuildbcd

Passo 5: Riavviare e Mettere in Sicurezza

Riavviate e incrociate le dita. Se il sistema parte (e normalmente a questo punto dovrebbe), fate subito queste tre cose:

  1. Lanciate DISM /Online /Cleanup-Image /RestoreHealth seguito da sfc /scannow per consolidare la riparazione
  2. Sospendete gli aggiornamenti per almeno 5 settimane da Impostazioni → Windows Update → Opzioni avanzate
  3. Create un punto di ripristino manuale — non si sa mai

Procedura di Ripristino: Scenario B — Boot Loop da KB5077181

Metodo 1: Disinstallazione Grafica da WinRE

Se WinRE parte da solo dopo i riavvii ripetuti (di solito dopo il terzo):

  1. Andate su Risoluzione dei problemi → Opzioni avanzate → Disinstalla aggiornamenti
  2. Scegliete "Disinstalla ultimo aggiornamento qualitativo"
  3. Aspettate che finisca e riavviate

Semplice e diretto. Ma se non funziona, c'è il piano B.

Metodo 2: Disinstallazione da Prompt dei Comandi

:: Da WinRE: Risoluzione dei problemi > Opzioni avanzate > Prompt dei comandi
wusa /uninstall /kb:5077181 /quiet /norestart

:: Se WUSA restituisce errore, provate con DISM
dism /Image:D:\ /Get-Packages | findstr "5077181"
dism /Image:D:\ /Remove-Package /PackageName:[nome_pacchetto_trovato]

Metodo 3: Passare dalla Modalità Provvisoria

Se il sistema riesce almeno ad arrivare alla schermata di login (anche se poi crasha):

  1. Tenete premuto Shift e cliccate su Riavvia
  2. Risoluzione dei problemi → Opzioni avanzate → Impostazioni di avvio → Riavvia
  3. Premete F4 per la Modalità provvisoria oppure F5 se vi serve la rete
  4. Aprite un Prompt dei comandi come Amministratore:
wusa /uninstall /kb:5077181 /quiet /norestart

Procedura di Ripristino: Scenario C — Sistema Instabile Dopo il Login

Risolvere i Problemi di Rete (DHCP)

Questo è uno degli scenari più frustranti per l'utente: il Wi-Fi risulta connesso, ma niente pagine web, niente mail, niente di niente. Ecco come procedere:

:: Riavviare il servizio DHCP Client
net stop "DHCP Client"
net start "DHCP Client"

:: Rilasciare e rinnovare l'indirizzo IP
ipconfig /release
ipconfig /renew

:: Reset completo dello stack di rete
netsh winsock reset
netsh int ip reset
ipconfig /flushdns

:: Se ancora nulla, reinstallare il driver di rete
pnputil /scan-devices

Risolvere gli Errori SENS

Il servizio System Event Notification Service che non parte è un problema subdolo — blocca il caricamento completo del profilo utente. Di solito si risolve così:

:: Verificare lo stato del servizio SENS
sc query SENS

:: Riavviare il servizio
net stop SENS
net start SENS

:: Se il servizio non ne vuole sapere, controllate le dipendenze
sc qc SENS

:: In ultima istanza, riparazione completa
DISM /Online /Cleanup-Image /RestoreHealth
sfc /scannow

Disinstallare l'Aggiornamento dal Desktop

Se riuscite ad accedere al sistema (anche se traballa un po'):

  1. Aprite Impostazioni → Windows Update → Cronologia aggiornamenti → Disinstalla aggiornamenti
  2. Trovate KB5077181 (o KB5074109), selezionatelo e cliccate Disinstalla
  3. Oppure, se preferite la via rapida da PowerShell come Amministratore:
## Elenco aggiornamenti installati
wmic qfe list brief /format:table

## Disinstallazione specifica
wusa /uninstall /kb:5077181 /quiet /norestart

Procedura di Ripristino: Scenario D — Errori di Installazione

L'aggiornamento non si installa e Windows Update ci riprova ogni volta? È il momento di fare pulizia nei componenti di Windows Update:

:: Arrestare i servizi di Windows Update
net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver

:: Rinominare le cartelle di cache
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old

:: Riavviare i servizi
net start wuauserv
net start cryptSvc
net start bits
net start msiserver

:: Forzare una nuova scansione
wuauclt /detectnow

Se volete capire esattamente cosa è andato storto, i log sono i vostri migliori amici:

:: Log dei componenti di servicing
notepad C:\Windows\Logs\CBS\CBS.log

:: Log DISM
notepad C:\Windows\Logs\DISM\dism.log

:: Log di Windows Update
Get-WindowsUpdateLog

Gestione Enterprise: Proteggere Tutto il Parco Macchine

Fin qui ci siamo concentrati sulla risoluzione PC per PC. Ma se gestite decine o centinaia di dispositivi, dovete pensare in grande. Ecco come affrontare la cosa a livello enterprise.

Bloccare gli Aggiornamenti Problematici

Con Intune (Windows Update for Business)

## PowerShell: Verificare i criteri di aggiornamento via Graph API
Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

## Controllare le policy di aggiornamento esistenti
Get-MgDeviceManagementDeviceConfiguration | Where-Object {
    $_.AdditionalProperties."@odata.type" -like "*windowsUpdateForBusiness*"
} | Select-Object DisplayName, Id

Dal portale Intune, andate su Dispositivi → Windows → Criteri di aggiornamento → Anelli di aggiornamento e impostate un deferral di almeno 14 giorni per gli aggiornamenti qualitativi. Onestamente, dopo quello che è successo, io consiglierei 21 giorni.

Con WSUS

Se usate WSUS, non approvate KB5077181 finché Microsoft non rilascia un fix confermato. Se l'avete già approvato:

  1. Aprite la console WSUS
  2. Aggiornamenti → Tutti gli aggiornamenti
  3. Cercate KB5077181
  4. Tasto destro → Rifiuta

Con Group Policy (GPO)

:: Sospendere gli aggiornamenti qualitativi via registro
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v DeferQualityUpdates /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v DeferQualityUpdatesPeriodInDays /t REG_DWORD /d 21 /f

Script di Audit: Trovare i PC Colpiti

Questo script PowerShell vi permette di scansionare il dominio e identificare tutti i dispositivi che hanno installato gli aggiornamenti incriminati. Lo uso regolarmente in situazioni come questa e fa risparmiare ore di lavoro manuale:

## Script di audit: identificazione dispositivi con KB problematici
## Requisiti: modulo ActiveDirectory, accesso in lettura al dominio

$KBProblematici = @("KB5074109", "KB5077181")
$Computer = Get-ADComputer -Filter {OperatingSystem -like "*Windows 11*"} -Properties Name, OperatingSystem

$Risultati = foreach ($PC in $Computer) {
    try {
        $Sessione = New-CimSession -ComputerName $PC.Name -ErrorAction Stop
        $Hotfix = Get-CimInstance -CimSession $Sessione -ClassName Win32_QuickFixEngineering |
            Where-Object { $KBProblematici -contains $_.HotFixID }

        if ($Hotfix) {
            [PSCustomObject]@{
                NomePC      = $PC.Name
                SO          = $PC.OperatingSystem
                KBInstallato = ($Hotfix.HotFixID -join ", ")
                DataInstall  = ($Hotfix.InstalledOn | Sort-Object -Descending | Select-Object -First 1)
            }
        }
        Remove-CimSession $Sessione
    }
    catch {
        [PSCustomObject]@{
            NomePC      = $PC.Name
            SO          = $PC.OperatingSystem
            KBInstallato = "ERRORE: $($_.Exception.Message)"
            DataInstall  = $null
        }
    }
}

## Esporta in CSV
$Risultati | Export-Csv -Path "C:\Temp\Audit_KB_Problematici.csv" -NoTypeInformation -Encoding UTF8
Write-Host "Audit completato. Trovati $($Risultati.Count) dispositivi." -ForegroundColor Yellow

Verificare le Chiavi BitLocker Prima del Ripristino di Massa

Se dovete intervenire su molte macchine, il primo passo è assicurarvi che le chiavi BitLocker siano effettivamente recuperabili. Non c'è niente di peggio che trovarsi davanti a un PC bloccato senza la chiave giusta. Questo script verifica lo stato dell'escrow in Active Directory:

## Verifica escrow chiavi BitLocker in Active Directory
$Computer = Get-ADComputer -Filter {OperatingSystem -like "*Windows 11*"}

foreach ($PC in $Computer) {
    $ChiaviBitLocker = Get-ADObject -Filter {objectClass -eq "msFVE-RecoveryInformation"} `
        -SearchBase $PC.DistinguishedName -Properties msFVE-RecoveryPassword

    if ($ChiaviBitLocker) {
        Write-Host "$($PC.Name): $($ChiaviBitLocker.Count) chiave/i trovata/e" -ForegroundColor Green
    } else {
        Write-Host "$($PC.Name): NESSUNA chiave in AD!" -ForegroundColor Red
    }
}

Prevenzione: Evitare Che Succeda di Nuovo

1. Adottare un Approccio Ring-Based

La lezione più importante di questa vicenda: mai distribuire aggiornamenti a tutti i dispositivi in contemporanea. Strutturate la distribuzione su più anelli:

  • Ring 0 (Pilota): 5-10 PC del team IT, aggiornamento immediato — siete voi le cavie
  • Ring 1 (Early Adopter): 10-15% del parco, dopo 3-5 giorni se tutto va bene
  • Ring 2 (Produzione): il resto dei dispositivi, dopo 7-14 giorni
  • Ring 3 (Critico): server e workstation mission-critical, dopo almeno 21 giorni

Se aveste avuto questa struttura prima di KB5074109, l'impatto sarebbe stato limitato a una manciata di PC.

2. Preparare un Kit di Emergenza

Ogni helpdesk che si rispetti dovrebbe avere sempre pronti:

  • Chiavetta USB avviabile con Windows 11, aggiornata ogni mese
  • Accesso centralizzato alle chiavi BitLocker — tramite AD, Intune o MBAM
  • Un'immagine golden recente per il ripristino rapido
  • Un runbook aggiornato con le procedure di questo articolo (stampatelo, non si sa mai)

3. Monitorare le Fonti Prima di Approvare

Prima di dare il via libera a qualsiasi aggiornamento, fate un giro su queste risorse:

  • Windows Release Health Dashboard: è il canale ufficiale Microsoft per i problemi noti
  • Microsoft 365 Admin Center: advisory e messaggi sugli aggiornamenti
  • Community e forum: Reddit r/sysadmin (il Patch Tuesday Megathread è oro), AskWoody, forum italiani di sistemisti

4. Conoscere il Known Issue Rollback (KIR)

Un meccanismo che non tutti conoscono: Microsoft può disabilitare selettivamente le modifiche problematiche tramite il Known Issue Rollback, senza che dobbiate disinstallare l'intero aggiornamento. Tenete d'occhio le comunicazioni ufficiali per eventuali KIR specifici per KB5074109 e KB5077181.

Riepilogo: Errori e Soluzioni a Colpo d'Occhio

Errore / Sintomo KB Soluzione Tempo
UNMOUNTABLE_BOOT_VOLUME (0xED) KB5074109 Disinstallazione da WinRE + riparazione BCD 30-60 min
Boot loop infinito KB5077181 Disinstallazione da WinRE o Modalità provvisoria 20-40 min
Nessuna connettività (DHCP) KB5077181 Reset stack di rete + disinstallazione KB 15-30 min
Errore SENS al login KB5077181 Riavvio servizio SENS + sfc /scannow 15-25 min
BitLocker: loop di ripristino KB5074109 Sblocco manuale + disinstallazione offline 45-90 min
Errore 0x800f0983 / 0x800f0991 KB5077181 Pulizia componenti Windows Update 20-30 min
App di terze parti KO KB5077181 Aggiornamento software + disinstallazione KB 15-30 min

Domande Frequenti

Windows 11 non si avvia dopo l'aggiornamento di febbraio 2026: cosa faccio?

La prima mossa è accedere al Windows Recovery Environment (WinRE). Se il PC non si avvia, spegnetelo forzatamente tre volte durante il boot — al quarto tentativo WinRE dovrebbe partire da solo. Da lì, andate su Risoluzione dei problemi → Opzioni avanzate → Disinstalla aggiornamenti e togliete l'ultimo aggiornamento qualitativo. Se avete BitLocker, tenete a portata di mano la chiave di ripristino a 48 cifre.

Dove trovo la chiave BitLocker se il PC non parte?

Dipende dalla configurazione aziendale. Cercate in Azure AD/Entra ID (portale admin → dispositivo → chiavi di ripristino), in Active Directory (proprietà del computer in ADUC → scheda BitLocker Recovery), in Microsoft Intune (Dispositivi → dispositivo specifico → Chiavi di ripristino), oppure nel portale MBAM. Gli utenti domestici possono verificare il proprio account Microsoft online.

Disinstallare KB5077181 è sicuro? Non perdo le patch di sicurezza?

Sì, tecnicamente rimuovete le 58 correzioni di sicurezza del Patch Tuesday di febbraio, incluse quelle per le 6 zero-day. È un compromesso, certo. Ma tra un sistema funzionante senza le ultime patch e un sistema che non si avvia proprio... la scelta è abbastanza ovvia. Sospendete gli aggiornamenti e aspettate che Microsoft rilasci una patch correttiva (out-of-band) prima di reinstallare.

Come blocco l'aggiornamento su tutti i PC aziendali?

Dipende dal vostro strumento di gestione. Con Intune, impostate un deferral di 14-21 giorni negli anelli di aggiornamento. Con WSUS, rifiutate esplicitamente il KB dalla console. Con Group Policy, configurate DeferQualityUpdatesPeriodInDays. E soprattutto: adottate l'approccio ring-based per il futuro, distribuendo prima a un gruppo pilota.

C'è un limite di tempo per disinstallare l'aggiornamento?

Sì, e questo è un dettaglio cruciale. Windows permette il rollback degli aggiornamenti qualitativi entro 10 giorni dall'installazione. Dopo, i file di backup vengono cancellati e la disinstallazione standard non è più disponibile. A quel punto le opzioni rimaste sono: riparazione con DISM offline da WinRE, aggiornamento in-place (reinstallazione che mantiene file e app), oppure — ultima spiaggia — ripristino da backup o reinstallazione pulita.

Sull'Autore Editorial Team

Our team of expert writers and editors.

Articoli Correlati