Trojan:Win32/Cerdigent.A!dha — Microsoft Defender fa scattare l’allarme: è un falso positivo?

Dal 3 maggio 2026, migliaia di utenti Windows in tutto il mondo vedono comparire un avviso di Microsoft Defender che segnala la minaccia Trojan:Win32/Cerdigent.A!dha. La comunità di Microsoft Q&A è inondata di segnalazioni identiche. Tutti si chiedono la stessa cosa: è reale o è un falso positivo? Ecco tutto quello che sappiamo.

Che cos’è Trojan:Win32/Cerdigent.A!dha?

Il nome di rilevamento Trojan:Win32/Cerdigent.A!dha segue la nomenclatura standard di Microsoft Security Intelligence per le minacce di tipo trojan su sistemi Windows a 32 o 64 bit. Il suffisso !dha indica che la detection è stata generata tramite analisi euristica dinamica (Dynamic Heuristic Analysis), ovvero non da una firma statica nota, ma da un comportamento rilevato durante l’esecuzione di un file.

Questo dettaglio è cruciale: le detection euristiche sono storicamente più soggette a falsi positivi rispetto alle firme classiche, poiché si basano su pattern comportamentali che possono sovrapporsi a software legittimo.

ATTENZIONE Microsoft non ha ancora rilasciato una comunicazione ufficiale che classifichi esplicitamente questa detection come falso positivo. Tuttavia, il volume anomalo di segnalazioni simultanee da parte di utenti con configurazioni molto diverse è un forte indicatore.

Perché così tanti utenti lo vedono contemporaneamente?

Il forum ufficiale Microsoft Q&A ha registrato oltre 20 segnalazioni identiche nelle prime ore del 3 maggio 2026. Gli utenti riportano che l’avviso è comparso dopo un aggiornamento automatico delle definizioni di Defender, senza aver installato nuovo software o visitato siti sospetti.

Questo schema — molti utenti, contemporaneamente, con lo stesso rilevamento su sistemi eterogenei — è un pattern classico dei falsi positivi introdotti da un aggiornamento delle firme. In passato eventi analoghi hanno coinvolto altri software di sicurezza: nel 2010 McAfee causò un loop di riavvii su milioni di PC, nel 2021 CrowdStrike e nel 2024 lo stesso Windows Defender colpì file di sistema legittimi.

CONTESTO TECNICO Le definizioni di Microsoft Defender vengono aggiornate più volte al giorno tramite Windows Update e Microsoft Update. Un singolo errore in un aggiornamento può innescare rilevamenti errati su scala globale in poche ore.

Come verificare se si tratta davvero di un falso positivo

Prima di agire, è importante capire quale file sia stato segnalato. Segui questi passaggi:

1. Apri Windows Security → Protezione da virus e minacce → Cronologia protezione. Individua l’elemento rilevato come Trojan:Win32/Cerdigent.A!dha e annota il percorso completo del file.
2. Carica il file su VirusTotal (virustotal.com). Se degli oltre 70 motori antivirus disponibili solo Defender (o pochissimi altri) segnalano il file, è probabile che si tratti di un falso positivo.
3. Verifica la firma digitale del file: tasto destro sul file → Proprietà → Firme digitali. Se il file appartiene a un produttore noto e la firma è valida, aumenta la probabilità di falso positivo.
4. Controlla la data dell’aggiornamento di Defender: apri PowerShell e digita 
   Get-MpComputerStatus | select AntivirusSignatureLastUpdated.
   Se l’aggiornamento è avvenuto nelle ultime 24 ore, potrebbe essere la causa.
5. Invia la segnalazione a Microsoft tramite il portale ufficiale (vedi sezione successiva).

Come segnalare il falso positivo a Microsoft

Microsoft mette a disposizione il portale Microsoft Security Intelligence per inviare file sospettati di essere rilevati erroneamente. È il canale ufficiale e la procedura è gratuita.

URL: https://aka.ms/wdsi
Sezione: "Submit a file"
Tipo di segnalazione: "Incorrect detection (False positive)"
  

1. Visita microsoft.com/wdsi/filesubmission e accedi con il tuo account Microsoft.
2. Carica il file in quarantena o una sua copia. Puoi recuperarlo da Protezione da virus e minacce → Cronologia protezione → Ripristina (con cautela).
3. Seleziona “Incorrect detection (False positive)” come tipologia di invio.
4. Aggiungi una descrizione breve: specifica che molti utenti riportano lo stesso problema in data 3 maggio 2026.
5. Attendi la risposta di Microsoft, solitamente entro 24-48 ore lavorative.

Cosa fare nell’attesa: esclusione temporanea

Se il file rilevato appartiene a un’applicazione aziendale critica o a un software fidato, un amministratore di sistema può aggiungere un’esclusione temporanea in Microsoft Defender. Questa operazione va eseguita solo se sei certo che il file sia legittimo.

# PowerShell (eseguire come Amministratore)
Add-MpPreference -ExclusionPath "C:\Percorso\Completo\Del\File.exe"

# Per escludere in base all'hash SHA256 (più sicuro)
Add-MpPreference -ExclusionProcess "NomeProcesso.exe"

⚠ IMPORTANTENon aggiungere esclusioni globali o disabilitare Defender completamente. Le esclusioni devono essere limitate al file specifico e rimosse non appena Microsoft rilascia un aggiornamento correttivo.

Tabella comparativa: falso positivo vs. minaccia reale

Indicatore	Falso Positivo	Minaccia Reale
Numero di segnalazioni	Molti utenti, stesso rilevamento, stesso giorno	Segnalazioni sparse nel tempo
VirusTotal	0–2 engine su 70+ lo rilevano	Numerosi engine concordano
Firma digitale del file	Valida, produttore noto	Assente, scaduta o sospetta
Comportamento del sistema	Nessuna anomalia riscontrabile	CPU alta, connessioni anomale, file cifrati
Timing rispetto a update Defender	Coincide con aggiornamento firme	Indipendente dagli aggiornamenti
Percorso file segnalato	Cartelle di sistema o software noti	Temp, AppData, cartelle nascoste

Storico dei falsi positivi più noti di Microsoft Defender

Non si tratta di un evento isolato. Microsoft Defender ha in passato segnalato come malware alcuni dei suoi stessi file di sistema o applicazioni molto diffuse. Tra i casi più noti:

• 2021 — Defender classificava erroneamente chrome.exe come minaccia su alcuni sistemi aggiornati.
• 2022 — Un aggiornamento delle firme identificava file di Office come malware su macchine enterprise.
• 2023 — Falso positivo su driver legittimi di periferiche audio, causando blocchi del sistema.
• 2024 — Rilevamento errato di python.exe come backdoor su macchine con ambienti di sviluppo.

In tutti questi casi, Microsoft ha rilasciato un aggiornamento correttivo delle firme nel giro di 24–72 ore.

Conclusioni: cosa fare adesso

Sulla base dei dati disponibili al 3 maggio 2026, Trojan:Win32/Cerdigent.A!dha presenta tutti i caratteri di un falso positivo introdotto da un recente aggiornamento delle definizioni di Microsoft Defender. Il volume e la simultaneità delle segnalazioni, l’assenza di comportamenti anomali riportati dai sistemi colpiti e il suffisso !dha (detection euristica) supportano questa ipotesi.

L’aggiornamento è stato risolto con la versione 1.449.430.0 delle definizioni di Windows Defender aggiornate tramite Windows Update.

✅ AZIONI RACCOMANDATE

1. Verifica il file su VirusTotal prima di qualsiasi azione.
2. Invia una segnalazione di falso positivo a Microsoft tramite aka.ms/wdsi.
3. Mantieni Defender aggiornato: il fix arriverà con un aggiornamento delle firme.
4. Se il file è critico, usa l’esclusione temporanea solo dopo aver verificato la firma digitale.
5. Monitora questa pagina e i canali Microsoft per aggiornamenti ufficiali.