Windows Defender: guida completa per Windows 11

Windows Defender — ora ufficialmente chiamato Microsoft Defender Antivirus e parte di Sicurezza di Windows — è l'antivirus gratuito integrato in Windows 11. Nel 2026 è uno degli strumenti di sicurezza più seri disponibili per gli utenti consumer, eppure molti lo usano nella configurazione predefinita senza sapere cosa fa davvero e quali funzionalità avanzate esistono.

Questa guida copre tutto quello che serve sapere: come verificare che funzioni correttamente, come configurare le scansioni, come gestire le esclusioni, come attivare la protezione ransomware, come usare SmartScreen e il firewall integrato. Niente paura per le impostazioni tecniche — ogni passaggio è spiegato concretamente.

Windows 11 desktop con Sicurezza di Windows aperta che mostra tutte le protezioni attive con spunte verdi — Sicurezza di Windows con tutte le protezioni attive. Il verde su ogni sezione indica un sistema protetto correttamente.

Come aprire e verificare Sicurezza di Windows

Per aprire Sicurezza di Windows:

Cerca "Sicurezza di Windows" nella barra di ricerca (Win+S) e aprila.
Oppure: Impostazioni → Privacy e sicurezza → Sicurezza di Windows → Apri Sicurezza di Windows.
Oppure: clic sull'icona dello scudo nell'area di notifica della barra delle applicazioni.

La schermata principale mostra sei aree di protezione, ognuna con indicatore di stato verde, giallo o rosso:

Protezione da virus e minacce — Defender Antivirus
Protezione account — Windows Hello, account Microsoft, backup
Firewall e protezione della rete — Firewall di Windows Defender
Controllo app e browser — SmartScreen, protezione da exploit
Sicurezza dei dispositivi — Isolamento core, TPM
Prestazioni e integrità del dispositivo — Archiviazione, driver, batteria

Assicurati che tutte le sezioni siano verdi. Qualsiasi elemento giallo o rosso indica un problema che vale la pena risolvere.

Protezione in tempo reale

La protezione in tempo reale è il nucleo di Defender: analizza ogni file aperto, scaricato o eseguito in tempo reale, prima che possa causare danni. È attiva per impostazione predefinita e in quasi tutti i casi non va toccata.

Se è disattivata, attivala da: Sicurezza di Windows → Protezione da virus e minacce → Gestisci impostazioni → Protezione in tempo reale: On.

Perché potrebbe essere disattivata: hai installato un antivirus di terze parti (che disabilita Defender automaticamente per evitare conflitti), o l'hai disattivata manualmente. Se hai rimosso l'antivirus di terze parti, Defender si riattiva automaticamente entro pochi minuti — se non lo fa, attivalo manualmente.

Una nota sulle prestazioni: Defender usa la CPU durante le analisi dei file. Su sistemi moderni questo è impercettibile. Se noti rallentamenti durante la copia di molti file, probabilmente Defender sta analizzando ogni file copiato — questo è normale e intenzionale. La soluzione non è disabilitarlo, ma attendere il completamento dell'analisi.

Tipi di scansione e quando usarli

Defender offre quattro tipi di scansione. Per avviarle: Sicurezza di Windows → Protezione da virus e minacce → Opzioni di analisi.

Analisi rapida (consigliata per uso regolare)

Analizza le posizioni più probabili per trovare malware: registro di sistema, cartelle di avvio, memoria. Dura 2-10 minuti. È la scansione predefinita e quella che Windows esegue automaticamente in background.

Analisi completa

Analizza tutti i file sull'unità di sistema. Dura ore su dischi grandi. Utile dopo aver scaricato molti file da fonti sconosciute, dopo aver connesso un dispositivo esterno di dubbia provenienza, o quando si sospetta un'infezione che l'analisi rapida non ha trovato.

Analisi personalizzata

Analizza solo la cartella o il file che specifichi. Utile per verificare un file scaricato o una chiavetta USB prima di aprirla.

Analisi offline di Microsoft Defender

Riavvia il PC in un ambiente sicuro (fuori da Windows) per trovare rootkit e malware persistente che si nascondono mentre Windows è in esecuzione. È la scansione più potente e richiede il riavvio. Usala se sospetti un'infezione grave che le scansioni normali non riescono a risolvere.

Windows 11 desktop con pannello di sicurezza aperto e widget sistema visibili sul wallpaper scuro — Monitorare la sicurezza del sistema è semplice con Sicurezza di Windows: ogni area mostra chiaramente il proprio stato.

Gestire le esclusioni

Le esclusioni dicono a Defender di non analizzare certi file, cartelle, processi o estensioni. Sono utili per sviluppatori e utenti con software specializzato che generano molti falsi positivi, ma sono pericolose se mal configurate.

Per aggiungere un'esclusione: Sicurezza di Windows → Protezione da virus e minacce → Gestisci impostazioni → Esclusioni → Aggiungi o rimuovi esclusioni.

Esclusioni legittime tipiche:

Cartelle di sviluppo con migliaia di file: C:\projects, node_modules, directory di build.
File di macchine virtuali: cartelle con .vhd, .vmdk, .vbox.
Software CAD, ingegneristico o medico con falsi positivi documentati.
Processi di backup che analizzano continuamente i file (Veeam, Acronis, Macrium).

Non aggiungere mai esclusioni per: file scaricati da fonti sconosciute, crack o seriali di software, suggerimenti di siti web che dicono "disabilita l'antivirus per installare questo programma".

Protezione ransomware (Accesso controllato alle cartelle)

Il ransomware è un tipo di malware che cifra i tuoi file e chiede un riscatto per decifrarli. La funzione "Accesso controllato alle cartelle" di Defender protegge le cartelle più importanti bloccando qualsiasi applicazione non autorizzata che tenti di modificarle.

È disattivata per impostazione predefinita perché genera falsi positivi. Per attivarla:

Sicurezza di Windows → Protezione da virus e minacce → Gestisci protezione da ransomware.
Attiva Accesso controllato alle cartelle.
Clicca su Cartelle protette per vedere quali sono protette (Documenti, Immagini, Desktop, Video, Musica per impostazione predefinita) e aggiungerne altre se vuoi.
Clicca su Consenti a un'app di accedere a una cartella controllata per aggiungere le applicazioni legittime che devono poter scrivere in quelle cartelle (editor di testo, client di backup, applicazioni di lavoro).

Nei primi giorni dopo l'attivazione, alcune applicazioni legittime potrebbero essere bloccate. Quando Sicurezza di Windows notifica un blocco, clicca sulla notifica per vedere quale app è stata bloccata e permettile l'accesso se è un'applicazione che conosci.

Per protezione aggiuntiva contro la perdita di dati, fare backup regolari rimane essenziale — come spiegato nella guida al backup di Windows 11.

SmartScreen: protezione da siti e file dannosi

SmartScreen è un filtro reputazionale che blocca siti web potenzialmente pericolosi e avverte prima di eseguire applicazioni sconosciute.

Funziona su tre livelli:

SmartScreen per Microsoft Edge: blocca siti di phishing e download pericolosi nel browser.
SmartScreen per app e file: mostra un avviso quando esegui un'applicazione scaricata da Internet che non ha ancora una reputazione consolidata.
SmartScreen per Microsoft Store: verifica le applicazioni del Microsoft Store prima dell'installazione.

Configurazione: Sicurezza di Windows → Controllo app e browser → Impostazioni protezione basata sulla reputazione.

Il messaggio "Windows ha protetto il PC" che vedi eseguendo software scaricato da Internet è SmartScreen in azione. Se vuoi comunque eseguire il file (perché lo conosci e ti fidi), clicca su "Ulteriori informazioni" e poi "Esegui comunque". Non farlo se non sei assolutamente sicuro dell'origine del file.

Firewall di Windows Defender

Il Firewall di Windows Defender filtra il traffico di rete in entrata e in uscita. La configurazione predefinita è adeguata per la maggior parte degli usi domestici: blocca le connessioni in entrata non richieste e permette quelle in uscita.

Punti importanti:

Su rete privata (casa), il firewall è più permissivo: consente la condivisione di file e stampanti in rete locale.
Su rete pubblica (WiFi del bar, dell'hotel), il firewall blocca quasi tutto in entrata: essenziale per la sicurezza su reti non fidate.

Quando installi una nuova applicazione che usa la rete, Windows chiede se consentire o bloccare l'accesso al firewall. Consenti per le applicazioni che conosci (client VPN, applicazioni di streaming, software di videoconferenza); blocca per applicazioni sospette o che non hai installato intenzionalmente.

Per la configurazione VPN su Windows 11 — che si integra con il Firewall per gestire il traffico su connessioni cifrate — la guida dettagliata è disponibile nel nostro articolo su come configurare una VPN su Windows 11.

Windows Hello e protezione dell'account

La sezione "Protezione account" di Sicurezza di Windows gestisce l'autenticazione. Windows Hello — riconoscimento facciale, impronta digitale o PIN — è più sicuro di una password tradizionale perché le credenziali biometriche non escono mai dal dispositivo.

Attivare Windows Hello: Impostazioni → Account → Opzioni di accesso. Se il tuo PC ha webcam IR o lettore di impronte, trovi le opzioni per riconoscimento facciale e impronta digitale. Il PIN è disponibile su tutti i PC e non richiede hardware aggiuntivo.

La guida completa a Windows Hello, incluso come configurarlo e gestire i fattori di autenticazione, è nel nostro articolo su Windows Hello su Windows 11.

Desktop Windows 11 ben configurato con widgets sistema che mostrano metriche di salute del PC su sfondo synthwave — Un PC sicuro è anche un PC veloce: Defender ben configurato protegge senza impattare le prestazioni quotidiane.

Aggiornamenti di Defender: cosa sapere

Defender si aggiorna automaticamente attraverso Windows Update, tipicamente più volte al giorno (aggiornamenti delle definizioni virus). Non devi fare nulla per tenere le definizioni aggiornate se Windows Update è attivo.

Per controllare manualmente l'ultima versione delle definizioni: Sicurezza di Windows → Protezione da virus e minacce → Aggiornamenti della protezione da virus e minacce → Verifica disponibilità aggiornamenti.

Un sistema con definizioni vecchie di più di qualche giorno può perdere protezione contro i malware più recenti. Se noti che gli aggiornamenti di Defender sono fermi, verifica che Windows Update funzioni correttamente — spesso il problema è lì.

Per mantenere Windows 11 veloce e reattivo anche con tutte le protezioni attive, la guida su come velocizzare Windows 11 copre le ottimizzazioni compatibili con Defender e spiega quali "trucchi per velocizzare il PC" sono sicuri e quali non lo sono.

Domande frequenti

Windows Defender è sufficiente o serve un antivirus aggiuntivo nel 2026?

Per la maggior parte degli utenti domestici e professionali, Windows Defender (Microsoft Defender Antivirus) è sufficiente nel 2026. I test indipendenti di AV-TEST e AV-Comparatives assegnano regolarmente a Defender punteggi di protezione pari o superiori al 99% nella rilevazione di malware noti. Include protezione in tempo reale, protezione ransomware, SmartScreen, firewall integrato e analisi comportamentale. La situazione in cui un antivirus aggiuntivo può avere senso: ambienti aziendali con requisiti di compliance specifici, o utenti che visitano abitualmente siti ad alto rischio. Per l'uso quotidiano, aggiungere un secondo antivirus crea conflitti tra motori e può ridurre le prestazioni.

Come faccio a sapere se Windows Defender è attivo e funzionante?

Apri Sicurezza di Windows (cerca nella barra di ricerca) e controlla che tutte le sezioni abbiano una spunta verde. In particolare: Protezione da virus e minacce → Protezione in tempo reale: Attiva. Se una sezione mostra una icona gialla o rossa, clicca su di essa per vedere il dettaglio del problema. Un antivirus di terze parti installato disabilita automaticamente Defender — questo è normale e si vede da un messaggio che dice 'Gestito da [nome antivirus]'. Se hai disinstallato un antivirus di terze parti e Defender non si è riattivato, vai in Protezione da virus e minacce → Impostazioni → Protezione in tempo reale e attivala manualmente.

Le esclusioni di Defender sono pericolose?

Sì, se mal configurate. Un'esclusione dice a Defender di non analizzare certi file, cartelle o processi — qualunque malware che si installi in quella posizione sarà ignorato. Le esclusioni legittime hanno senso per: cartelle di lavoro di sviluppatori (node_modules, .git, build), macchine virtuali (file .vhd, .vmdk), o software professionale specializzato che genera falsi positivi verificati. Non aggiungere mai esclusioni su suggerimento di un sito web o di un software sconosciuto — è una tecnica comune per disabilitare la protezione prima di installare malware.

Cosa devo fare se Defender rileva una minaccia?

Prima di tutto, non farti prendere dal panico. Per prima cosa: metti in quarantena (non eliminare subito). Vai in Sicurezza di Windows → Protezione da virus e minacce → Cronologia protezione, trova la minaccia e scegli 'Metti in quarantena'. La quarantena disabilita il file senza eliminarlo permanentemente. Poi verifica: cerca il nome esatto della minaccia su Google con il prefisso 'false positive [nome]' — molti falsi positivi riguardano software legittimo. Se sei sicuro che sia un falso positivo, puoi ripristinare il file dalla quarantena. Se è una minaccia reale, elimina il file in quarantena e considera un'analisi completa del sistema.

Il Firewall di Windows è davvero utile o è solo un'opzione ignorata?

Il Firewall di Windows è genuinamente utile e spesso sottovalutato. Blocca le connessioni in entrata non autorizzate — fondamentale su reti WiFi pubbliche (aeroporti, bar, hotel) dove altri dispositivi sulla stessa rete potrebbero tentare connessioni. Sul profilo 'Rete privata' il firewall è più permissivo per consentire condivisione file e stampanti in rete domestica; su 'Rete pubblica' blocca quasi tutto in entrata. La configurazione predefinita è adeguata per la maggior parte degli utenti. Gli utenti avanzati possono creare regole personalizzate tramite 'Windows Defender Firewall con sicurezza avanzata' (wf.msc) per controllare traffico specifico per applicazione o porta.

Come funziona la protezione ransomware di Defender?

La protezione ransomware di Defender si chiama 'Accesso controllato alle cartelle' ed è disattivata per impostazione predefinita. Quando attivata, blocca le modifiche non autorizzate ai file nelle cartelle protette (Documenti, Immagini, Desktop, ecc.) — solo le applicazioni approvate possono scrivere in quelle cartelle. Il problema pratico: genera molti falsi positivi con applicazioni legittime (es. Notepad++, editor di codice, client di backup) che devono essere aggiunte manualmente alla lista delle applicazioni consentite. Attivala se sei a rischio di ransomware; aspettati di dover approvare alcune applicazioni legittime nelle prime settimane.