Disattivare l’avviso «Il collegamento potrebbe essere pericoloso» in Office/Outlook con i Trusted Protocols

Se ogni volta che fai clic su un collegamento in Outlook o in un’app Office compare l’avviso «È possibile che il collegamento sia pericoloso», la soluzione più sicura e definitiva è affidare solo il protocollo personalizzato interessato tramite i Trusted Protocols del Registro di sistema.

Perché compare l’avviso di sicurezza sui collegamenti

Le app di Microsoft Office (Outlook, Word, Excel, PowerPoint) bloccano i collegamenti che attivano applicazioni esterne attraverso protocolli personalizzati (URI scheme), ad esempio otzarbook:, zoommtg:, slack:, ecc. Questi schemi, diversi da http:/https:, fanno partire un programma installato nel sistema e, per precauzione, Office mostra un messaggio del tipo «È possibile che il collegamento sia pericoloso» chiedendo conferma prima di procedere.

Se conosci la provenienza del link e il protocollo è legittimo (per esempio un’app aziendale o un tool che usi quotidianamente), puoi eliminare l’avviso solo per quello schema, mantenendo attive tutte le altre protezioni.

Sintesi della soluzione migliore

La strategia consigliata è affidare il protocollo interessato aggiungendolo all’elenco Trusted Protocols nel Registro. In questo modo:

• l’avviso viene disattivato solo per quel protocollo (es. otzarbook:);
• tutti gli altri URL e protocolli restano protetti;
• non si allentano impostazioni globali di sicurezza.

Panoramica approcci e impatto

Approccio	Dove intervenire	Passaggi essenziali	Pro	Contro
Aggiungere il protocollo personalizzato all’elenco “Trusted Protocols” (Soluzione risolutiva)	Registro di sistema HKEYCURRENTUSER\Software\Microsoft\Office\XX.0\Common\Security\Trusted Protocols\All Applications	1) Aprire Regedit. 2) Creare (se non esiste) la chiave Trusted Protocols\All Applications. 3) Aggiungere un valore stringa (REG_SZ) con nome <protocollo>: (es. otzarbook:) e dati 1.	Disattiva l’avviso solo per lo schema indicato; mantiene le protezioni per tutti gli altri link.	Richiede accesso al Registro e diritti di scrittura per l’utente.
Disabilitare globalmente la finestra di avviso	Registro di sistema …\Security\DisableHyperlinkWarning (DWORD=1)	Creare/Impostare la DWORD DisableHyperlinkWarning a 1.	Immediato e semplice.	Disattiva la protezione per tutti i collegamenti; sconsigliato soprattutto in azienda.
Modificare le impostazioni del Centro protezione di Office	File → Opzioni → Centro protezione → Impostazioni Centro protezione → Opzioni privacy	Deselezionare “Controlla se i documenti provenienti da siti Web sospetti…”.	Via grafica, senza Registro.	Agisce solo sulle app Office; riduce la protezione generale.
Allentare impostazioni in Opzioni Internet (legacy)	inetcpl.cpl → Sicurezza → Livello personalizzato	Abilitare “Avvio di applicazioni e file pericolosi”.	Può incidere su più applicazioni legacy.	Indebolisce la difesa SmartScreen a livello di sistema; non consigliato.

Il caso reale: quale metodo ha funzionato

Dopo prove non risolutive (ad esempio impostare DisableHyperlinkWarning senza effetti), l’utente ha confermato che aggiungere il proprio protocollo all’elenco Trusted Protocols ha eliminato definitivamente l’avviso solo per quello schema, mantenendo attive le difese per tutto il resto.

Procedura consigliata passo‑passo

Prerequisiti e avvertenze

• Backup del Registro: prima di modificare, esporta la chiave interessata o crea un punto di ripristino.
• Permessi: la modifica in HKEYCURRENTUSER non richiede diritti amministrativi, ma l’utente deve poter scrivere nel proprio profilo di Registro.
• Versione Office: sostituisci XX.0 con la tua versione. Nota pratica: per Office 2016/2019/2021 e Microsoft 365 la chiave rimane 16.0 (anche se il prodotto è “Microsoft 365”).
• Protocollo esatto: il nome del valore deve includere i due punti finali (protocollo:). Senza i “:”, Office non lo rileva.

Passaggi in Regedit

1. Premi Win+R, digita regedit e premi Invio.
2. Vai a HKEYCURRENTUSER\Software\Microsoft\Office\16.0\Common\Security. Se usi versioni precedenti, adegua XX.0 di conseguenza (es. 14.0 per Office 2010, 15.0 per 2013).
3. Se non esiste, crea la chiave Trusted Protocols e al suo interno All Applications.
4. Nella chiave All Applications, crea un valore stringa (REG_SZ) con Nome uguale al protocollo (in minuscolo, seguito da due punti), ad es. otzarbook:, e Dati uguali a 1.
5. Chiudi Regedit e riapri l’app Office/Outlook. Cliccando un link con quello schema, l’avviso non comparirà più.

Esempio

Per il protocollo OtzarBook: (schema personalizzato dell’app “OtzarBook”), crea il valore:

• Percorso chiave: HKEYCURRENTUSER\Software\Microsoft\Office\16.0\Common\Security\Trusted Protocols\All Applications
• Valore (REG_SZ): otzarbook:
• Dati: 1

Verifica rapida

1. Chiudi e riapri Outlook (o l’app Office da cui clicchi il link).
2. Copia nella barra degli indirizzi di Windows o in Esegui (Win+R) un URI del tipo otzarbook:some-resource per verificare che il protocollo sia registrato a sistema.
3. Apri un messaggio o documento con il link otzarbook:: l’avviso non dovrebbe più apparire.

Alternative e quando usarle (con cautela)

Disattivazione globale dell’avviso (sconsigliata)

Se vuoi togliere qualsiasi prompt per tutti i collegamenti (scelta ad alto rischio, specialmente in azienda), puoi impostare la DWORD DisableHyperlinkWarning a 1. È una scorciatoia, ma elimina una difesa importante.

Chiave:  HKEYCURRENTUSER\Software\Microsoft\Office\16.0\Common\Security
Valore:  DisableHyperlinkWarning (DWORD) = 1
Effetto: Disattiva l’avviso per ogni link/URI esterno (non consigliato)

Centro protezione di Office

Puoi allentare alcune verifiche in File → Opzioni → Centro protezione → Impostazioni Centro protezione → Opzioni privacy (per esempio disattivando “Controlla se i documenti…”). È comodo, ma agisce in modo ampio sull’ecosistema Office, non solo sui protocolli personalizzati.

Opzioni Internet (legacy)

Tramite inetcpl.cpl → Sicurezza → Livello personalizzato puoi attivare “Avvio di applicazioni e file pericolosi”. Questa scelta incide su più app legacy e riduce le barriere di SmartScreen: valuta solo come ultima istanza o per casi particolari in ambienti controllati.

Distribuzione in ambienti aziendali

Group Policy Preferences (GPP) – per utenti di dominio

1. Apri la GPMC e crea/modifica una GPO applicata agli utenti interessati.
2. Vai su User Configuration → Preferences → Windows Settings → Registry.
3. Aggiungi un nuovo elemento Registry:
   • Action: Create (o Update)
   • Hive: HKEYCURRENTUSER
   • Key Path: Software\Microsoft\Office\16.0\Common\Security\Trusted Protocols\All Applications
   • Value name: otzarbook:
   • Value type: REG_SZ
   • Value data: 1
4. Usa Item-level targeting se vuoi applicarlo solo a determinati gruppi o computer.

Vantaggio: nessuna azione manuale sui PC e tracciabilità centralizzata.

Intune / Microsoft Endpoint Manager

Puoi distribuire lo stesso settaggio con uno script PowerShell (Win32 app) o una policy di configurazione che scriva nel ramo HKCU. Tieni presente che le impostazioni per utente richiedono l’esecuzione nello user context.

Automazione: script .reg e PowerShell

File .reg per affidare il protocollo

Windows Registry Editor Version 5.00

[HKEYCURRENTUSER\Software\Microsoft\Office\16.0\Common\Security\Trusted Protocols\All Applications]
"otzarbook:"="1" 

Doppio clic sul file per importarlo nel profilo dell’utente (consigliato dopo aver chiuso le app Office).

PowerShell robusto (rileva le versioni presenti e crea la chiave)

$protocol = "otzarbook:"   # <-- modifica qui il tuo schema (in minuscolo, con i due punti finali)
$data     = "1"

Elenca le versioni di Office presenti nel ramo HKCU (14.0, 15.0, 16.0, ecc.)

$officeRoot = "HKCU:\Software\Microsoft\Office"
$versions = Get-ChildItem $officeRoot -ErrorAction SilentlyContinue |
Where-Object { $_.PSChildName -match '^\d+.\d+$' } |
Select-Object -ExpandProperty PSChildName

if (-not $versions) { $versions = @("16.0") }  # fallback sensato

foreach ($ver in $versions) {
$base = Join-Path $officeRoot "$ver\Common\Security\Trusted Protocols\All Applications"
New-Item -Path $base -Force | Out-Null
New-ItemProperty -Path $base -Name $protocol -PropertyType String -Value $data -Force | Out-Null
Write-Host "Impostato $protocol=1 in $base"
} 

Rimozione / ripristino

$protocol = "otzarbook:"   # schema da rimuovere
$officeRoot = "HKCU:\Software\Microsoft\Office"

Get-ChildItem $officeRoot -ErrorAction SilentlyContinue |
Where-Object { $*.PSChildName -match '^\d+.\d+$' } |
ForEach-Object {
$base = Join-Path $*.PSPath "Common\Security\Trusted Protocols\All Applications"
if (Test-Path $base) {
Remove-ItemProperty -Path $base -Name $protocol -ErrorAction SilentlyContinue
Write-Host "Rimosso $protocol da $base"
}
} 

Domande frequenti (FAQ)

Cos’è un “protocollo personalizzato” (URI scheme)?

È una stringa prima dei due punti (:) che identifica il meccanismo di apertura. Per esempio: http:, https:, mailto: sono standard; otzarbook:, zoommtg:, slack: sono registrati da specifiche applicazioni. Quando clicchi un link con quello schema, Windows cerca l’app associata e la lancia con i parametri ricevuti.

Perché il valore deve essere in minuscolo e con i due punti finali?

Office effettua il controllo sul nome esatto del valore nella chiave All Applications. La convenzione è lo schema in minuscolo seguito da : (es. otzarbook:). Se ometti i due punti o usi un nome diverso, la chiave non viene rilevata.

Qual è la versione XX.0 giusta?

• Office 2010 → 14.0
• Office 2013 → 15.0
• Office 2016/2019/2021 e Microsoft 365 → 16.0

Per Microsoft 365, benché il prodotto sia “sempre aggiornato”, il ramo di Registro che interessa i Trusted Protocols resta sotto 16.0.

Funziona con tutte le app Office?

Sì. La chiave “Common\Security\Trusted Protocols” è condivisa: Outlook, Word, Excel e PowerPoint rispettano la whitelist dello schema.

Serve l’account amministratore?

No, perché la modifica è nel profilo utente (HKCU). In scenari multiutente o VDI, ogni profilo dovrà avere la chiave.

Il prompt persiste: cosa controllare?

1. Nome del valore: deve terminare con : (esatto) e corrispondere allo schema effettivo.
2. Tipo del valore: REG_SZ, dati 1.
3. Percorso della chiave: …\Office\16.0\Common\Security\Trusted Protocols\All Applications.
4. Policy sovrascriventi: GPO o strumenti di sicurezza che ripristinano le chiavi.
5. Protocollo registrato a sistema: in HKEYCLASSESROOT<schema> deve esistere l’handler (voce URL Protocol); in caso contrario l’app non si avvia comunque.

Posso affidare http: o https:?

No: non è lo scopo dei Trusted Protocols e non va indebolita la protezione per schemi web generici. Limita la whitelist ai soli schemi personalizzati noti e necessari.

Questa modifica è reversibile?

Sì: basta eliminare il valore <schema>: dalla chiave All Applications. Se hai usato un file .reg o uno script di distribuzione, prepara anche il pacchetto di rollback.

Checklist rapida

• Backup del Registro effettuato.
• Schema identificato (esatto, in minuscolo, con :).
• Chiavi Trusted Protocols e All Applications presenti sotto HKCU\…\16.0\Common\Security.
• Valore REG_SZ schema: = 1 creato.
• Outlook/Office riavviati e test di apertura link ok.

Buone pratiche di sicurezza

• Approccio granulare: affida solo gli schemi necessari (principio del privilegio minimo).
• Monitoraggio: tieni un elenco dei protocolli affidati e riesaminali periodicamente.
• Formazione: spiega agli utenti che l’assenza dell’avviso non significa che qualunque link sia sicuro.
• Distribuzione controllata: in azienda, usa GPP/Intune per coerenza e reversibilità.

Conclusioni

Per eliminare l’avviso «È possibile che il collegamento sia pericoloso» quando clicchi link che invocano app esterne (es. otzarbook:), la soluzione più pulita e sicura è aggiungere il protocollo alla whitelist dei Trusted Protocols in HKCU\Software\Microsoft\Office\16.0\Common\Security\Trusted Protocols\All Applications con valore REG_SZ schema:=1. Questa impostazione ha risolto definitivamente il problema nel caso d’uso reale, evitando di disattivare protezioni globali e conservando una postura di sicurezza adeguata.

---

Indicazioni supplementari (riassunto)

1. Backup del Registro – Esporta la chiave o crea un punto di ripristino.
2. Protocollo esatto – Il nome del valore deve includere i due punti finali (protocollo:).
3. Versione di Office – Usa il ramo corretto (per Microsoft 365 resta 16.0).
4. Minimizzare il rischio – Preferisci la whitelist di singoli protocolli rispetto alla disattivazione globale.
5. Distribuzione in rete – In azienda, veicola la chiave via GPO/Intune per evitare interventi manuali.

Seguendo questi passaggi potrai usare i tuoi collegamenti personalizzati senza ulteriori interruzioni, mantenendo al contempo le difese per gli altri protocolli e gli URL sconosciuti.

Sistemi interessati: Windows 10/11; Outlook, Word, Excel, PowerPoint (Office 2010–2021 e Microsoft 365). Nota: alcune diciture di menu possono variare leggermente in base alla lingua e all’edizione.