KMSpico non esiste: non consegnate Windows ai criminali informatici

L’attivazione di Windows è il processo con cui il sistema operativo verifica la validità della licenza, confermando che è installato in modo legittimo e conforme ai termini di utilizzo Microsoft. Dalla notte dei tempi, i pirati hanno cercato schemi per bypassare il controllo della licenza, mettendo a punto procedure che non solo violano le condizioni di utilizzo di Windows ma costituiscono un vero e proprio reato. KMSpico è un popolare attivatore partorito a suo tempo su un noto forum online, con diverse sezioni dedicate al bypassing delle verifiche poste in essere da Windows.

Incredibilmente, un corposo numero di ricerche giornaliere si concentrano ancora oggi proprio su KMSpico. Eppure, qualunque sito Web “ufficiale” di KMSpico che appare nei risultati delle ricerche è senza dubbio falso. Perché? Perché il progetto KMSpico è morto e sepolto da tempo, con gli sviluppatori che ne hanno interrotto qualunque aggiornamento.

Differenza tra Product Key e licenza di Windows

Oggi è facile acquistare una licenza di Windows a prezzi economici. Non è indispensabile comprarla a prezzo pieno sullo store di Microsoft. L’importante è affidarsi a venditori affidabili, capaci di attestare la “genuinità” della licenza, che non si limitino a commercializzare semplicemente un codice Product Key.

Perché, si sa, il Product Key è una cosa, la licenza un’altra. Il Product Key è un identificativo univoco per la copia di Windows che si sta installando; la licenza, viceversa, si riferisce ai diritti legali che l’utente ha sull’uso del software. Essa definisce come e su quante macchine può essere utilizzata una copia di Windows, stabilendo anche le modalità di distribuzione, trasferimento e supporto.

Il semplice possesso di un Product Key non attesta che una licenza sia valida. Perché il Product Key, ad esempio, potrebbe appartenere a un contratto di licenza a volume, quindi sottratto all’azienda avente titolo. In questi casi, anche se l’utente avesse acquistato il Product Key da qualche parte sul Web, la licenza è assolutamente non valida. Con tutte le conseguenze del caso.

Diffidate quindi dai Product Key di Windows e Office che si trovano ovunque in rete!

Non cadete nel tranello KMSpico

Posto che una licenza genuina di Windows 10 Pro (aggiornabile gratis a Windows 11) si trova oggi a circa 35-40 euro rivenditori affidabili e autorevoli, non cercate strumenti come KMSpico. Il rischio, più che concreto, è quello di consegnare il PC (e il suo contenuto) ai criminali informatici.

Come accennato in precedenza, tra l’altro, KMSpico non esiste più e tutte le pagine Web che ne presentano l’utilizzo sono assolutamente fraudolente. Nella stragrande maggioranza dei casi, l’obiettivo è quello di indurre gli utenti a installare applicazioni arbitrarie che poi, a loro volta, attivano il download di payload malevoli.

Gli eredi KMSpico usano sempre server KMS

Il vero KMSPico usava un server KMS (Key Management Service) non ufficiale al fine di attivare i prodotti Microsoft, ad esempio Windows e Office.

L’uso di KMS è un modo legittimo per attivare le licenze Windows nei computer client, specialmente in massa (attivazione a volume). Esiste persino un documento Microsoft sulla creazione di un host di attivazione KMS.

Un client KMS si connette a un server KMS (l’host di attivazione) che contiene la chiave utilizzabile per effettuare e concludere l’attivazione con successo. Una volta convalidati i client KMS, il prodotto Microsoft installato su tali client contatta il server trascorso un certo numero di giorni (spesso 180) per mantenere la validità della licenza.

Tuttavia, una configurazione KMS è fattibile solo per le grandi organizzazioni che usano prodotti Microsoft con licenza a volume (VL) e che hanno quindi stipulato specifici accordi commerciali.

Se KMSpico è “andato in pensione”, diversi “successori” provano a seguirne la scia. E di solito sfruttano server KMS locali o remoti che simulano il meccanismo di attivazione Microsoft tramite KMS.

Attenzione a usare server KMS non ufficiali

Come sottolineato nell’articolo citato in precedenza, mai usare strumenti che abilitano l’utilizzo di server KMS remoti che non sono ufficiali e che quindi non sono ufficialmente supportati da Microsoft. Questo perché, al di là delle violazioni del contratto di licenza Microsoft, il server KMS gestito da terze parti può provocare il caricamento e la conseguente esecuzione di codice arbitrario sul dispositivo Windows dell’utente.

Progetti come py-kms sono tollerati e permettono di creare in locale un server KMS usando codice Python. Il loro utilizzo dovrebbe però essere limitato a coloro che sono in possesso di Product Key legittimi e di regolari licenze, ma che ad esempio si trovassero in difficoltà nel caso di cambio dell’hardware su una o più macchine Windows.

Va sottolineato ancora una volta che l’attivazione di Windows con un server KMS non trasferisce alcun diritto se non si possiede una licenza valida.

In ambito aziendale non si contano i casi di controlli svolti dagli enti preposti che hanno portato al sequestro dei PC, all’irrogazione di una sanzione amministrativa e alla contestazione penale dello sfruttamento economico di opere protette.

Per questo motivo, va sempre verificata la validità delle licenze che si usano e, soprattutto negli ambienti business, produrre un inventario delle stesse.