Il piano "gratuito" di Microsoft per l'aggiornamento della sicurezza informatica governativa ha escluso la concorrenza, affermano fonti interne — ProPublica
Punti salienti del report
- Alzare l'asticella: il presidente Joe Biden ha chiesto alle aziende tecnologiche di "innalzare gli standard della sicurezza informatica". Microsoft ha quindi offerto al governo aggiornamenti gratuiti e consulenti per installarli.
- Vantaggio competitivo: se da un lato il piano ha aiutato il governo a rafforzare la sicurezza informatica, dall'altro ha permesso a Microsoft di consolidare il proprio controllo sugli appalti federali e di estromettere i concorrenti.
- Soldi per niente: esperti legali e contrattuali affermano che questi accordi non avrebbero mai dovuto essere conclusi, poiché eludono o addirittura violano le leggi federali sugli appalti pubblici e sull'antitrust.
Questi estratti sono stati scritti dai giornalisti e dai redattori che hanno lavorato a questo articolo.
Nell'estate del 2021, il presidente Joe Biden ha convocato alla Casa Bianca gli amministratori delegati delle più grandi aziende tecnologiche del paese.
Una serie di attacchi informatici collegati a Russia, Cina e Iran aveva colto di sorpresa il governo, e l'amministrazione aveva chiesto ai vertici di Microsoft, Amazon, Apple, Google e altre aziende di offrire impegni concreti per aiutare gli Stati Uniti a rafforzare le proprie difese.
"Credo che abbiate il potere , la capacità e la responsabilità di innalzare gli standard della sicurezza informatica", ha detto Biden ai dirigenti riuniti nella East Room.
Microsoft aveva più da dimostrare rispetto alla maggior parte delle altre aziende. Le sue stesse falle nella sicurezza avevano contribuito ad alcune delle intrusioni che avevano portato al vertice, come il cosiddetto attacco SolarWinds, in cui hacker sponsorizzati dallo stato russo rubarono dati sensibili da agenzie federali, tra cui la National Nuclear Security Administration. In seguito alla scoperta di tale violazione, alcuni membri del Congresso affermarono che l'azienda avrebbe dovuto fornire una migliore sicurezza informatica ai suoi clienti. Altri si spinsero oltre. Il senatore Ron Wyden, democratico e presidente della commissione finanze del Senato, invitò il governo a "rivalutare la propria dipendenza da Microsoft" prima di assegnarle ulteriori contratti.
In risposta alla richiesta di aiuto del presidente, l'amministratore delegato di Microsoft, Satya Nadella, si è impegnato a fornire al governo 150 milioni di dollari in servizi tecnici per contribuire a rafforzare la sicurezza digitale del Paese.
In apparenza, sembrava una vittoria politica per l'amministrazione Biden e un normale tentativo di limitare i danni da parte della più grande azienda di software al mondo.
Ma l'impegno apparentemente semplice di Microsoft celava un programma più complesso, guidato dal profitto, come ha rivelato un'inchiesta di ProPublica. La proposta era, in realtà, una manovra commerciale calcolata, progettata per generare miliardi di dollari di nuove entrate, escludere i concorrenti dai lucrosi contratti governativi e rafforzare la presa dell'azienda sugli affari federali.
L'offerta della Casa Bianca, come era nota all'interno di Microsoft, prevedeva l'invio di consulenti Microsoft in tutto il governo federale per installare i prodotti di sicurezza informatica dell'azienda, che, nell'ambito dell'offerta, venivano forniti gratuitamente per un periodo limitato.
Ma una volta installati gli aggiornamenti, i clienti federali sarebbero stati di fatto vincolati, perché passare a un concorrente dopo il periodo di prova gratuito sarebbe stato complicato e costoso, secondo quanto affermato da ex dipendenti Microsoft coinvolti nel progetto, la maggior parte dei quali ha parlato a condizione di anonimato per timore di ripercussioni professionali. A quel punto, il cliente non avrebbe avuto altra scelta che pagare le tariffe di abbonamento più elevate.
Due ex responsabili delle vendite coinvolti nell'iniziativa l'hanno paragonata a uno spacciatore che adesca un consumatore con campioni gratuiti. "Se ti diamo il crack e tu lo prendi, ti piacerà", ha detto uno di loro. "Ma poi, quando arriverà il momento di toglierglielo, i tuoi clienti finali diranno: 'Non portatemelo via'. E sarete costretti a pagarmi."
Se vi diamo il crack e voi lo prendete, ne trarrete piacere. E poi, quando arriverà il momento di togliervelo, i vostri utenti finali diranno: "Non portatemelo via".
ex responsabile vendite di Microsoft
Se vi diamo il crack e voi lo prendete, ne trarrete piacere. E poi, quando arriverà il momento di togliervelo, i vostri utenti finali diranno: "Non portatemelo via".
ex responsabile vendite di Microsoft
Se vi diamo il crack e voi lo prendete, ne trarrete piacere. E poi, quando arriverà il momento di togliervelo, i vostri utenti finali diranno: "Non portatemelo via".
Secondo quanto riferito da ex venditori, l'azienda voleva però qualcosa di più dei semplici canoni di abbonamento. L'offerta della Casa Bianca avrebbe spinto i clienti ad acquistare altri prodotti Microsoft basati su Azure, la piattaforma cloud dell'azienda, che prevedevano costi aggiuntivi in base alla quantità di spazio di archiviazione e potenza di calcolo utilizzata. L'aspettativa era che questi aggiornamenti avrebbero, in definitiva, "fatto girare il contatore" di Azure, aiutando Microsoft a sottrarre quote di mercato al suo principale concorrente nel settore del cloud, Amazon Web Services.
Negli anni successivi all'impegno preso da Nadella nei confronti di Biden, gli obiettivi di Microsoft si sono concretizzati. Il Dipartimento della Difesa, che per anni si era opposto agli aggiornamenti a causa dei costi elevati, ha iniziato a pagarli una volta terminato il periodo di prova gratuito, gettando le basi per il futuro utilizzo di Azure. Lo stesso hanno fatto molte agenzie civili. L'offerta della Casa Bianca ha "conquistato Azure" il governo, ha affermato Karan Sondhi, ex venditore Microsoft a conoscenza degli accordi. "Ed è stato un successo che ha superato ogni nostra aspettativa".
Ma mentre la mossa di Microsoft si è rivelata estremamente redditizia per l'azienda, gli esperti legali hanno dichiarato a ProPublica che gli accordi con la Casa Bianca non avrebbero mai dovuto essere conclusi, poiché aggirano o addirittura violano le leggi federali che regolano gli appalti pubblici. Tali leggi generalmente vietano i regali da parte degli appaltatori e richiedono una concorrenza aperta per gli appalti federali.
Accettare aggiornamenti gratuiti dei prodotti e servizi di consulenza per un valore complessivo di centinaia di milioni di dollari "non è come ricevere un campione gratuito da Costco, dove posso prendere un assaggio, dire 'Grazie per lo snack' e andarmene", ha affermato Eve Lyon , un avvocato che ha lavorato per quarant'anni come specialista degli appalti nel governo federale. "In questo caso, si è modificata la cultura IT e passare a un altro sistema costerebbe una fortuna".
Microsoft ha difeso il proprio operato. "L'unico obiettivo dell'azienda in quel periodo era quello di supportare una richiesta urgente dell'Amministrazione per rafforzare la sicurezza delle agenzie federali, costantemente prese di mira da sofisticati attori statali", ha dichiarato Steve Faehl, responsabile della sicurezza per il settore federale di Microsoft, in un comunicato. "Non vi era alcuna garanzia che le agenzie avrebbero acquistato queste licenze" ed "erano libere di rivolgersi ad altri fornitori per soddisfare le proprie esigenze di sicurezza", ha aggiunto Faehl.
Secondo Faehl, i prezzi della suite di sicurezza di Microsoft erano trasparenti e l'azienda ha lavorato "strettamente con l'Amministrazione per garantire che tutti gli accordi di servizio e supporto fossero stipulati in modo etico e nel pieno rispetto delle leggi e dei regolamenti federali". Faehl ha dichiarato nella nota che Microsoft ha chiesto alla Casa Bianca di "esaminare l'accordo per eventuali problematiche antitrust e assicurarsi che tutto fosse in regola, e così è stato fatto".
La Casa Bianca ha contestato tale interpretazione, così come Tim Wu, ex consigliere presidenziale che ha dichiarato a ProPublica di aver discusso dell'offerta con l'azienda in una breve e informale conversazione prima del vertice, ma di non averla approvata. "Se è questo che dicono, stanno travisando quanto accaduto durante quella telefonata", ha affermato.
Un funzionario della Casa Bianca, in una dichiarazione rilasciata a ProPublica, ha cercato di prendere le distanze dall'offerta di Microsoft, che in precedenza era stata definita un'iniziativa di cybersicurezza "ambiziosa".
"Si è trattato di un impegno volontario assunto da Microsoft... e Microsoft ne è l'unica responsabile", ha dichiarato il funzionario della Casa Bianca nel comunicato. Inoltre, ha aggiunto che le decisioni di accettarlo sono state "gestite esclusivamente dalle rispettive agenzie".
"La Casa Bianca non è coinvolta nelle decisioni dell'Agenzia in materia di sicurezza informatica e appalti", ha affermato il funzionario.
Il funzionario si è rifiutato di commentare le preoccupazioni legali e contrattuali sollevate dagli esperti, ma ha osservato nella dichiarazione che la Casa Bianca "è ampiamente preoccupata" per i rischi derivanti da un eccessivo affidamento su un singolo fornitore di tecnologia e "sta valutando possibili misure politiche per incoraggiare i dipartimenti e le agenzie a diversificare laddove vi sia concentrazione". Gli esperti di sicurezza informatica affermano che tale concentrazione può rendere gli utenti vulnerabili ad attacchi, interruzioni o altri disservizi.
Eppure, il vertice della Casa Bianca ha inaugurato proprio quel tipo di dipendenza concentrata, così come quel tipo di comportamento anticoncorrenziale che l'amministrazione Biden si è impegnata a debellare. Ex venditori di Microsoft hanno dichiarato a ProPublica che, durante la promozione dell'offerta della Casa Bianca, consigliavano ai dipartimenti federali di risparmiare denaro abbandonando i prodotti di sicurezza informatica acquistati dalla concorrenza. Quei prodotti, dicevano, erano ormai "ridondanti". I venditori cercavano anche di tenere lontani i nuovi concorrenti spiegando ai clienti federali che la maggior parte degli strumenti di sicurezza informatica di cui avevano bisogno erano inclusi nel pacchetto aggiornato.
Oggi, a seguito di questi accordi, ampie fasce del governo federale, comprese tutte le forze armate del Dipartimento della Difesa, dipendono più che mai da un'unica azienda per soddisfare le proprie esigenze informatiche. L'inchiesta di ProPublica, supportata da interviste a otto ex dipendenti Microsoft coinvolti nell'offerta alla Casa Bianca, rivela per la prima volta come si è arrivati a questa radicale trasformazione: un cambiamento che, secondo i critici, rende Washington vulnerabile, l'esatto opposto di ciò che Biden si era prefissato di ottenere con il suo vertice.
"Come ha fatto Microsoft a diventare un attore così pervasivo all'interno del governo?" ha affermato un ex responsabile vendite dell'azienda. "Beh, il governo si è lasciato convincere da Microsoft quando quest'ultima ha iniziato a offrire i suoi prodotti gratuitamente."

"Tutto ciò che facciamo è progettato per generare un ritorno sull'investimento."
Il governo federale è uno dei maggiori clienti di Microsoft e "quello a cui siamo più devoti", ha affermato il presidente dell'azienda, Brad Smith. Ogni giorno, milioni di dipendenti federali utilizzano il sistema operativo Windows e prodotti come Word, Outlook, Excel e altri per scrivere rapporti, inviare e-mail, analizzare dati e accedere ai propri dispositivi. Ma nei mesi precedenti al vertice di Biden, l'attacco hacker a SolarWinds ha messo a dura prova questo rapporto.
Scoperta alla fine del 2020, la violazione dei dati di SolarWinds è stata una delle più dannose nella storia degli Stati Uniti e ha evidenziato la vulnerabilità del governo federale a un attacco informatico sponsorizzato da uno stato.
Le autorità hanno accertato che hacker russi hanno sfruttato una falla in un prodotto Microsoft per rubare documenti governativi sensibili dalla National Nuclear Security Administration e dai National Institutes of Health, tra le altre agenzie. Ciò che non sapevano, come riportato da ProPublica a giugno, era che uno degli ingegneri della stessa azienda aveva segnalato la vulnerabilità per anni , ma era stato ignorato dai responsabili di prodotto, timorosi che ammetterla avrebbe compromesso le possibilità dell'azienda di aggiudicarsi un importante contratto federale per il cloud computing.
Ma il coinvolgimento noto di Microsoft è stato sufficiente perché il Congresso convocasse Smith a testimoniare nel febbraio 2021. I legislatori si sono concentrati su come Microsoft avesse strutturato i suoi prodotti in livelli di servizio, con strumenti di sicurezza avanzati inclusi solo nella licenza più costosa, nota ai clienti governativi come G5.
All'epoca, molti dipendenti federali utilizzavano una licenza meno costosa, nota come G3. Di conseguenza, non avevano accesso alle funzionalità di sicurezza che avrebbero potuto avvisarli di un'intrusione e agevolare le indagini successive.
Alcuni legislatori, come l'allora deputato Jim Langevin del Rhode Island, accusarono l'azienda di applicare prezzi eccessivi ai clienti per servizi che consideravano di base in materia di sicurezza. "È forse una fonte di profitto per Microsoft?", chiese a Smith durante l'udienza.
Smith ha risposto: "Siamo un'azienda a scopo di lucro. Tutto ciò che facciamo è finalizzato a generare un profitto, ad eccezione delle nostre attività filantropiche."
In seguito alle critiche, Microsoft annunciò presto che avrebbe offerto ai clienti federali una "prova gratuita di un anno di Advanced Audit", uno strumento che avrebbe potuto aiutare il governo a individuare e indagare su futuri attacchi. Nei mesi successivi, Microsoft si dichiarò "sorpresa che l'adozione di Advanced Audit non fosse così massiccia" come l'azienda si aspettava, ha dichiarato Faehl, responsabile della sicurezza federale di Microsoft, a ProPublica. Si sarebbe trattato di una "lezione appresa" per il futuro, ha aggiunto.
Nel maggio di quell'anno, Biden firmò un ordine esecutivo che imponeva alle agenzie federali di rafforzare le proprie difese informatiche, dichiarando che "proteggere la nostra nazione da attori informatici malevoli richiede che il governo federale collabori con il settore privato". Aggiunse: "In definitiva, la fiducia che riponiamo nella nostra infrastruttura digitale dovrebbe essere proporzionale alla sua affidabilità e trasparenza, nonché alle conseguenze che subiremo se tale fiducia si rivelerà mal riposta".
“La separazione del Mar Rosso”
In quel periodo, Anne Neuberger, vice consigliere per la sicurezza nazionale della Casa Bianca, chiamò Smith e chiese a Microsoft di sviluppare un'iniziativa da annunciare al vertice sulla sicurezza informatica della Casa Bianca di Biden, previsto per agosto. Come Langevin, l'amministrazione riteneva che la suite avanzata di strumenti di sicurezza informatica dell'azienda, compresi quelli destinati a contrastare le minacce sui dispositivi degli utenti, dovesse essere inclusa nelle licenze governative esistenti e che i prodotti dovessero essere forniti ai clienti con le impostazioni di sicurezza più elevate attivate di default. (Né Neuberger né Smith hanno rilasciato dichiarazioni).
Cedere in modo permanente un pacchetto di funzionalità di sicurezza avanzate era un'idea impensabile all'interno di Microsoft, ha dichiarato un dirigente a ProPublica. Ma Smith ha guidato un team per sviluppare un'offerta che sembrava essere un compromesso.
I clienti federali potevano usufruire gratuitamente, per un periodo limitato, delle funzionalità di sicurezza aggiornate del G5 e di consulenti incaricati dell'installazione. "È stata una richiesta dell'Amministrazione che Microsoft ha fornito strumenti di sicurezza avanzati, gratuitamente, alle agenzie il prima possibile, al fine di elevare il loro livello di sicurezza di base", ha dichiarato Faehl a ProPublica.
Sebbene l'accordo abbia raggiunto l'obiettivo dell'amministrazione di una maggiore protezione per il governo federale, ha anche servito gli interessi di Microsoft. I venditori di Microsoft avevano cercato, senza successo, per anni di convincere i clienti federali ad aggiornare al G5. I funzionari dei dipartimenti e delle agenzie erano restii a causa del prezzo più elevato, dato che avevano già altri fornitori in grado di offrire alcune delle stesse funzionalità di sicurezza. Il prezzo al dettaglio del G5 è quasi il 60% superiore a quello del G3.
"Sapevamo che si trattava di un'occasione d'oro che nessuno avrebbe potuto prevedere, perché da anni spingevamo per l'aggiornamento al G5, e le cose procedevano molto a rilento", ha affermato un ex responsabile vendite di Microsoft coinvolto nella strategia. Con l'offerta della Casa Bianca, è stato "come se Mosè ci avesse guidato attraverso la separazione del Mar Rosso, e noi l'abbiamo attraversata di corsa".
Sapevamo che si trattava di un'occasione d'oro che nessuno avrebbe mai potuto prevedere.
ex responsabile vendite di Microsoft
Sapevamo che si trattava di un'occasione d'oro che nessuno avrebbe mai potuto prevedere.
ex responsabile vendite di Microsoft
Sapevamo che si trattava di un'occasione d'oro che nessuno avrebbe mai potuto prevedere.
Faehl ha dichiarato a ProPublica che le vendite del G5 erano state lente prima dell'attacco di SolarWinds perché i clienti federali credevano erroneamente "di disporre già di sufficienti capacità di sicurezza". Ha affermato che l'attacco è stato "un campanello d'allarme che ha dimostrato come la prospettiva dello status quo sia insufficiente".
Microsoft era ben consapevole delle possibili implicazioni legali della sua offerta. Più di vent'anni prima, il Dipartimento di Giustizia degli Stati Uniti aveva citato in giudizio l'azienda in una storica causa antitrust che aveva quasi portato al suo smembramento. I procuratori federali avevano accusato Microsoft di aver mantenuto un monopolio illegale nel mercato dei sistemi operativi attraverso comportamenti anticoncorrenziali che impedivano ai concorrenti di affermarsi. Alla fine, il Dipartimento di Giustizia raggiunse un accordo con Microsoft e un giudice federale approvò un decreto di consenso che imponeva restrizioni sulle modalità di sviluppo e concessione in licenza del software da parte dell'azienda. Sebbene il decreto fosse scaduto da tempo, continuava comunque a esercitare una forte influenza sulla cultura aziendale.
In merito all'offerta della Casa Bianca, i dirigenti dell'azienda erano "consapevoli delle preoccupazioni relative al fatto che Microsoft rendesse gratuiti prodotti che aziende più piccole vendono", ha dichiarato un dirigente a ProPublica. Un portavoce ha spiegato: "Questo è stato il motivo per cui abbiamo chiesto all'amministrazione di esaminare la proposta".
La “revisione” consistette in una telefonata tra Smith di Microsoft e Wu, che era l’assistente speciale di Biden per la politica tecnologica e della concorrenza.
"Brad disse: 'Pensiamo che la sicurezza sia importante e vogliamo garantire una maggiore sicurezza al governo federale'", ha ricordato Wu.
Ma, secondo Wu, Smith avrebbe affermato che gli avvocati di Microsoft erano "eccessivamente paranoici" riguardo alle questioni antitrust e che lui stava cercando di "rassicurare i propri avvocati".
"Ho chiarito che alla Casa Bianca non c'era alcuna possibilità di dare il via libera a leggi antitrust", che rientrano nelle competenze del Dipartimento di Giustizia o della Commissione Federale per il Commercio, ha affermato Wu. "Sono abbastanza intelligente da non dire 'Oh sì, per me va bene'. Non sono pazzo."
Ho chiarito che alla Casa Bianca non c'era alcuna possibilità di approvare una legge antitrust. Sono abbastanza intelligente da non dire: "Oh sì, per me va bene". Non sono pazzo.
Tim Wu, ex consigliere presidenziale
Ho chiarito che alla Casa Bianca non c'era alcuna possibilità di approvare una legge antitrust. Sono abbastanza intelligente da non dire: "Oh sì, per me va bene". Non sono pazzo.
Tim Wu, ex consigliere presidenziale
Ho chiarito che alla Casa Bianca non c'era alcuna possibilità di approvare una legge antitrust. Sono abbastanza intelligente da non dire: "Oh sì, per me va bene". Non sono pazzo.
Dopo che l'emittente televisiva ha chiesto chiarimenti alla Microsoft in merito alla versione dei fatti di Wu, un portavoce ha ritrattato la dichiarazione scritta iniziale dell'azienda, affermando che Faehl era stato male informato. "La Casa Bianca ha organizzato una telefonata durante la quale abbiamo descritto i dettagli della nostra offerta di sicurezza e come era strutturata per evitare problemi di antitrust", ha dichiarato il portavoce. "Si è trattato di una conversazione informale e in nessun momento abbiamo richiesto un'approvazione formale da parte delle autorità antitrust".
Wu ha anche dichiarato a ProPublica di aver subito pressioni da parte di Neuberger, membro del Consiglio di Sicurezza Nazionale, che "voleva concludere l'accordo" in seguito agli attacchi informatici contro SolarWinds e altri. "Mi ha spinto a parlare al telefono con Brad", ha affermato. "Col senno di poi, in un certo senso, penso che non avrei nemmeno dovuto parlargli. Ma sentivo di dover aiutare il Consiglio di Sicurezza Nazionale in quella che avevano presentato come una mera formalità a supporto della sicurezza nazionale".
“La fase finale”
Dopo il vertice alla Casa Bianca, i team di vendita di Microsoft si sono rapidamente mobilitati per vendere il " WHO ", come divenne noto tra gli addetti ai lavori. I servizi di consulenza gratuiti erano una parte cruciale della strategia, secondo quanto affermato da ex venditori. Come ha detto Sondhi, "Il fatto che tu offra il prodotto gratuitamente non significa che lo useranno, perché installare un nuovo software e riqualificare il personale è una vera seccatura". L'azienda voleva evitare di ripetere la deludente partecipazione registrata con la precedente offerta di Advanced Audit.
Secondo una proposta esaminata da ProPublica, i consulenti lavorerebbero all'interno delle agenzie, dove avrebbero a disposizione scrivanie, telefoni e connessione internet forniti dal governo, oltre all'accesso alle reti informatiche federali. Dalla loro posizione privilegiata all'interno della burocrazia, si occuperebbero di rendere operativi i prodotti e di formare i dipendenti federali sul loro utilizzo. Questo renderebbe gli aggiornamenti "radicati", in quanto si integrerebbero nella routine quotidiana dei dipendenti, come affermato da ex venditori.
Microsoft ha coperto gli aggiornamenti gratuiti dei prodotti per un massimo di un anno, ha dichiarato l'azienda a ProPublica. Faehl ha definito gli aggiornamenti gratuiti "un'opzione a breve termine per la protezione, mentre le agenzie mettono in atto piani di approvvigionamento a lungo termine". O, come i team di vendita hanno detto ai clienti, "non dovrebbero dover aspettare di essere al sicuro fino a quando non potranno procedere con gli acquisti". L'azienda ha anche sottolineato che l'offerta ha comportato un costo significativo per Microsoft, "senza alcuna garanzia di rinnovo alla scadenza dell'accordo".
Ma i team di vendita hanno affermato di sapere che i clienti che avevano accettato l'offerta della Casa Bianca difficilmente avrebbero annullato l'impegno profuso nell'installazione degli aggiornamenti al momento del rinnovo, vincolandoli così al G5 a lungo termine. Wes Anderson, vicepresidente di Microsoft che supervisionava i team che lavoravano con il Dipartimento della Difesa, ha chiesto al suo staff di preparare delle previsioni che mostrassero quali clienti avrebbero probabilmente acquistato il G5 al termine dell'offerta della Casa Bianca, secondo quanto riferito a ProPublica da tre persone che lavoravano nel settore vendite.
"Era esplicito che questo fosse l'obiettivo finale", ha dichiarato a ProPublica un ex responsabile vendite di Microsoft che lavorava all'interno del Dipartimento della Difesa. "Si fa tutto il necessario per installare, rendere operativo e connettere il software, in modo che il cliente abbia la possibilità di rinnovare il contratto."
Era esplicito che questo fosse l'obiettivo finale. Avresti dovuto fare tutto il necessario per installare, rendere operativo e connettere quel software.
ex responsabile vendite di Microsoft
Era esplicito che questo fosse l'obiettivo finale. Avresti dovuto fare tutto il necessario per installare, rendere operativo e connettere quel software.
ex responsabile vendite di Microsoft
Era esplicito che questo fosse l'obiettivo finale. Avresti dovuto fare tutto il necessario per installare, rendere operativo e connettere quel software.
(Il 30 ottobre, due settimane dopo che l'organizzazione giornalistica aveva inviato a Microsoft delle domande per questo articolo, l'azienda ha annunciato via e-mail ai dipendenti che Anderson avrebbe lasciato Microsoft. Né Anderson né Microsoft hanno commentato la partenza. In merito alla richiesta di Anderson al suo staff, l'azienda ha dichiarato: "Le previsioni fanno parte del ritmo aziendale per le organizzazioni in quasi tutti i settori.")
Secondo quanto riferito a ProPublica da persone a conoscenza della strategia, i venditori presentavano l'offerta della Casa Bianca come "la soluzione più semplice". "La nostra argomentazione era: 'Abbiamo una suite completa di funzionalità eccellenti'", ha affermato un ex dipendente Microsoft che ha lavorato con il Dipartimento della Difesa. "'Dovreste aggiornare perché si occuperà di tutto, invece di avere una serie di fornitori, ognuno dei quali fa una delle 20 cose che il G5 può fare'". Faehl ha spiegato a ProPublica che i pacchetti di licenze aiutano i clienti federali a "evitare le complicazioni della gestione di contratti e licenze multiple" e a colmare le lacune di sicurezza sostituendo un "insieme eterogeneo di soluzioni" con una "protezione semplificata e completa".
Come previsto, nella maggior parte dei casi i team di vendita di Microsoft hanno trovato un pubblico ricettivo all'interno del governo. Per ingraziarsi i clienti, hanno fatto leva sul loro legame con la Casa Bianca nelle loro presentazioni. Ad esempio, nel giugno 2022, un rappresentante di Microsoft ha scritto ai funzionari del Dipartimento per gli Affari dei Veterani per spiegare che, "in collaborazione con la Casa Bianca", avrebbe offerto "servizi professionali gratuiti per fornire assistenza pratica" nell'implementazione degli aggiornamenti.
Soldi per niente?
Mentre i consulenti si diffondevano in tutto il governo federale per attivare le nuove funzionalità, tra alcuni dipendenti si diffuse un senso di inquietudine riguardo alla natura degli accordi. In genere, il governo si procura prodotti e servizi tramite una procedura di gara competitiva, selezionando tra diverse proposte di vari fornitori. L'offerta della Casa Bianca era diversa.
"Per quanto si cercasse di abbellire la situazione, il risultato era sempre quello di appalti senza gara", ha affermato un ex consulente di Microsoft coinvolto con l'OMS.
Il governo federale può ricevere servizi cosiddetti gratuiti, ovvero a titolo gratuito, dai donatori, a condizione che entrambe le parti abbiano un accordo scritto che stabilisca che il donatore non riceverà alcun compenso per i beni o i servizi forniti. Tali accordi erano in vigore per i servizi di consulenza offerti nell'ambito dell'iniziativa della Casa Bianca, ha affermato la società.
Per quanto si volesse abbellire la situazione, la comparsa di contratti senza gara d'appalto era inevitabile.
ex consulente Microsoft
Per quanto si volesse abbellire la situazione, la comparsa di contratti senza gara d'appalto era inevitabile.
ex consulente Microsoft
Per quanto si volesse abbellire la situazione, la comparsa di contratti senza gara d'appalto era inevitabile.
Secondo Lyon, ex avvocato federale responsabile degli appalti, quegli accordi potrebbero aver aiutato Microsoft a superare la "prova del buon senso". "Ma il fatto che qualcosa sia tecnicamente legale non significa che sia giusto", ha aggiunto.
Altri esperti in materia di appalti hanno affermato che i dipartimenti e le agenzie federali avrebbero dovuto essere più scettici nell'accettare prodotti e servizi di consulenza gratuiti da Microsoft, viste le implicazioni per la concorrenza e la sicurezza nazionale.
Il costo e la difficoltà di passare dai prodotti Microsoft rappresentano un classico esempio di "vendor lock-in", ha affermato Jessica Tillipman , vicedirettrice per gli studi di diritto degli appalti pubblici presso la facoltà di giurisprudenza della George Washington University. "I servizi gratuiti consentono al governo di aggirare una procedura di appalto competitiva e lo vincolano a un fornitore per gli appalti futuri", ha aggiunto.
Tillipman ha affermato che, in futuro, il governo dovrebbe prendere in considerazione restrizioni sui servizi IT gratuiti al fine di "garantire che non ci si trovi vincolati a un fornitore che si fa strada con offerte gratuite dai costi esorbitanti".
"Tutto questo è stato ideato per minare le competizioni future", ha affermato.
Tutto ciò è concepito per minare le competizioni future.
Jessica Tillipman, vicedirettrice della facoltà di giurisprudenza della George Washington University.
Tutto ciò è concepito per minare le competizioni future.
Jessica Tillipman, vicedirettrice della facoltà di giurisprudenza della George Washington University.
Tutto ciò è concepito per minare le competizioni future.
James Nagle, ex funzionario dell'esercito addetto agli appalti e avvocato specializzato nel processo di appalto federale, si è spinto ancora oltre, affermando che l'offerta della Casa Bianca avrebbe potenzialmente violato la legge vigente.
Il Federal Acquisition Regulation (FAR), che disciplina gli appalti pubblici, stabilisce che i dipendenti non possono accettare " omaggi ", ovvero beni di valore, " da chiunque abbia o stia cercando di ottenere contratti con il governo". Inoltre, come hanno riferito a ProPublica alcuni dipendenti coinvolti nell'offerta della Casa Bianca, Microsoft puntava a futuri aggiornamenti contrattuali e a nuove entrate da Azure.
Sebbene per "gratificazioni" si intendano in genere benefit come pasti gratuiti, biglietti per eventi sportivi o altri regali per uso personale, Nagle ha sostenuto che la regola potrebbe applicarsi all'offerta della Casa Bianca, pur affermando di non essere a conoscenza di alcun caso precedente in cui sia stata utilizzata la sua interpretazione. Ha paragonato la situazione a quella di una casa automobilistica che fornisce a un ente governativo una flotta di auto gratuitamente per un anno, perché desidera che l'ente acquisti quella flotta per il proprio personale. "Qualsiasi responsabile degli appalti direbbe: 'No, non potete farlo'", ha affermato Nagle. Una volta che i dipendenti si abituano alle auto, sono restii a cambiarle, ha aggiunto, e il "regalo non consentito" creerebbe un pregiudizio intrinseco nei confronti di quel produttore.
"Questo è il problema", ha detto Nagle. "Non si tratta di un gesto del tutto gratuito. C'è un altro piano in atto."
Microsoft non ha utilizzato i cosiddetti accordi sui servizi gratuiti per offrire gratuitamente gli aggiornamenti al G5, come invece ha fatto per i servizi di consulenza. Faehl ha invece dichiarato a ProPublica che l'azienda li considerava "uno sconto del 100%" applicato ai contratti esistenti con i clienti. Ha affermato che questo tipo di "investimento strategico è... una pratica comune tra le aziende" e che i team contrattuali di entrambe le parti hanno esaminato gli accordi. Nagle la vedeva diversamente, definendo i prodotti gratuiti come un "prodotto civetta progettato per generare futuri accordi vantaggiosi".
Secondo Nagle, i fornitori federali potrebbero essere esclusi dagli appalti governativi per violazione del Federal Acquisition Regulation, sebbene un simile esito sia altamente improbabile per un fornitore delle dimensioni di Microsoft. Ciononostante, ha aggiunto, in passato i singoli dipendenti coinvolti in accordi illeciti, da entrambe le parti, sono stati ritenuti responsabili.
Eludere la legge fiscale, tuttavia, potrebbe aver gettato le basi per un problema legale ancora più grave, ha affermato Christopher Sagers , professore di diritto antitrust alla Cleveland State University in Ohio. Le azioni di Microsoft, ha spiegato Sagers, potrebbero configurarsi come quella che nel diritto antitrust è nota come "condotta escludente", aprendo la strada a un monopolio illegale. "Microsoft, anziché competere sul merito, ha adottato misure per escludere i concorrenti rendendo il suo prodotto appetibile prima ancora che si presentassero opportunità di concorrenza", ha affermato. L'azienda ha sfruttato "una posizione già dominante per consolidarla ulteriormente".
Microsoft ha contestato tale affermazione.
"Non riteniamo che la nostra offerta abbia sollevato problemi di antitrust e l'abbiamo formulata appositamente per evitare tali questioni", ha dichiarato un portavoce dell'azienda. "Ne abbiamo parlato informalmente con un membro dello staff della Casa Bianca".
Wu ha però affermato che la società non gli ha chiarito le implicazioni finanziarie e competitive dell'offerta.
"Non c'è modo che se ne sia parlato", ha detto Wu a ProPublica. "L'unica cosa che Brad ha menzionato è stata l'ammodernamento delle agenzie federali, offrendo loro servizi migliori". Dopo aver appreso le conclusioni dell'agenzia di stampa, ha affermato: "La situazione è molto più grave di quanto sembri. Una volta entrati in un posto, è molto difficile uscirne".
"Ora comincio a sentirmi in qualche modo in colpa per aver avuto un ruolo in una vicenda così importante che è costata soldi ai contribuenti", ha detto Wu.
Eliminare la concorrenza
Ex venditori Microsoft hanno affermato che tutti i clienti del Dipartimento della Difesa che avevano aderito all'offerta della Casa Bianca, comprese tutte le branche delle forze armate, alla fine sono passati al G5 e hanno iniziato a pagarne il costo al momento del rinnovo dei contratti nel 2022 e nel 2023.
Un portavoce del Dipartimento della Difesa ha dichiarato in un comunicato stampa che il dipartimento ha rispettato la legge federale sugli appalti e ha "condotto test e valutazioni interne delle capacità di diversi fornitori". L'aggiornamento, ha affermato il portavoce, era "cruciale" per raggiungere gli obiettivi di sicurezza informatica del dipartimento. Il dipartimento si è rifiutato di rispondere a ulteriori domande, tra cui quella di specificare quali fornitori avesse valutato prima di optare per il G5.
John Sherman, all'epoca responsabile informatico del Dipartimento di Stato, ha difeso sia la decisione del governo che la strategia di Microsoft. "Sono certo che Microsoft, come qualsiasi altra azienda, cercherebbe di incrementare il proprio business con ogni cliente", ha dichiarato a ProPublica.
Ha aggiunto: "Non avevamo alcuna preferenza particolare per Microsoft in termini di favoritismi o altro, ma sapevamo che funzionava, ed è per questo che abbiamo voluto procedere in quella direzione."
Molte agenzie civili hanno effettuato l'aggiornamento al G5 in questo periodo, ha affermato Sondhi, che ora lavora presso Trellix, concorrente di Microsoft, come responsabile tecnologico per la divisione dedicata al settore pubblico.
Per Microsoft, aggiudicarsi più contratti governativi rappresentava solo una parte del quadro. L'azienda vedeva nell'offerta della Casa Bianca anche un'opportunità per sbaragliare la concorrenza.
Durante e dopo la campagna di vendita, i venditori di Microsoft consigliarono ai dipartimenti e alle agenzie governative di rimuovere i prodotti concorrenti dalle loro infrastrutture IT per ridurre i costi, affermando che il pacchetto Microsoft avrebbe reso superflui gli altri prodotti. Internamente, i dipendenti la chiamavano la strategia "da asporto". "Il ragionamento era: 'Lo state già pagando con il G5. È uno spreco di denaro pubblico averli entrambi'", ha dichiarato a ProPublica un ex responsabile vendite che ha lavorato con il Dipartimento della Difesa.
Sondhi ha affermato che, in uno scenario tipico, un aggiornamento al livello 5 può sostituire il lavoro di una mezza dozzina o più di fornitori. I dirigenti delle aziende di sicurezza informatica Trellix e Proofpoint, ad esempio, hanno dichiarato a ProPublica di aver perso contratti con il governo federale in seguito agli accordi dell'offerta della Casa Bianca.
L'offerta della Casa Bianca ha inoltre rafforzato la posizione competitiva di Microsoft, riducendo la probabilità che il governo indisse in futuro gare d'appalto per prodotti di cybersicurezza, vista l'ampia offerta presente nel G5. All'interno dell'azienda, questo veniva definito "sottrarre opportunità al mercato", come hanno affermato ex dirigenti delle vendite.
Le conseguenze di questo evento hanno colpito le aziende che stavano completando il processo di autorizzazione richiesto dal governo ai fornitori di servizi basati sul cloud. Diverse di queste hanno riferito a ProPublica che ora le opportunità di appalto nel settore della sicurezza informatica sono scarse.
"Stiamo facendo progressi, ma si tratta ancora in gran parte, e di gran lunga, di un panorama dominato da Microsoft", ha dichiarato a ProPublica un dirigente di un fornitore concorrente.
Faehl ha respinto tali lamentele, affermando che i clienti avevano mantenuto gli aggiornamenti perché questi offrivano buone prestazioni e che i concorrenti "dovrebbero guardarsi dentro per capire perché i loro prodotti non raggiungono o superano i risultati di Microsoft".
Fare i conti con la “monocultura”
Microsoft possiede qualcosa che poche altre aziende hanno: una vasta gamma di prodotti che abbracciano l'intero ecosistema IT. I concorrenti affermano che l'azienda ha sfruttato il suo predominio in determinati settori, come il sistema operativo Windows e le classiche applicazioni per l'ambiente di lavoro, per affermarsi anche in altri, in particolare nella sicurezza informatica e nel cloud computing.
"Nessuno ha il tipo di capitale che ha Microsoft", ha detto Sondhi. "Possono semplicemente assorbire il costo dell'offerta gratuita fino alla prima fattura del cliente."
Una coalizione sostenuta da alcuni dei principali concorrenti di Microsoft, tra cui Google e Amazon, ha sollevato questioni simili presso la Federal Trade Commission (FTC), che nel 2023 ha raccolto commenti pubblici sulle pratiche commerciali dei fornitori di servizi di cloud computing. Tra le aree di interesse costante della FTC: "Esistono segnali che i mercati del cloud non funzionino in modo pienamente competitivo e che determinate pratiche commerciali stiano ostacolando la concorrenza?".
La concorrenza non è l'unica questione in gioco. Con l'intensificarsi dei rapporti tra Washington e Microsoft, i leader del Congresso hanno espresso preoccupazione per quella che definiscono una "monocultura" della sicurezza informatica all'interno del governo federale. Alcuni, come Wyden e il senatore repubblicano del Missouri Eric Schmitt, hanno criticato in particolare il Dipartimento della Difesa per "aver perseverato in una strategia fallimentare di crescente dipendenza da Microsoft".
"Pur accogliendo con favore la decisione del Dipartimento di investire in una maggiore sicurezza informatica, siamo profondamente preoccupati che il Dipartimento della Difesa abbia scelto di non adottare un approccio multi-vendor che porterebbe a una maggiore concorrenza, a costi a lungo termine inferiori e a risultati migliori in materia di sicurezza informatica", hanno scritto i due parlamentari in una lettera indirizzata a Sherman, all'epoca responsabile informatico del Dipartimento, nel mese di maggio.
Faehl di Microsoft ha replicato: "L'affermazione secondo cui i nostri clienti sarebbero più a rischio perché utilizzano Windows, Azure o Office è errata. Collaboriamo strettamente con i nostri concorrenti nel settore della sicurezza perché li consideriamo partner nella lotta contro le minacce che affrontiamo in comune".
Eppure, proprio l'anno scorso, hacker cinesi hanno sfruttato le falle di sicurezza di Microsoft per violare gli account di posta elettronica di alti funzionari statunitensi. Indagando sull'attacco, il Cyber Safety Review Board federale ha criticato l'azienda per una "cascata di... errori evitabili" e l'ha spinta a rivedere la propria cultura della sicurezza. Da allora, Microsoft si è impegnata a mettere la sicurezza "al di sopra di tutto". A giugno, Smith ha dichiarato al Congresso che Microsoft si sarebbe adoperata per creare una "cultura che incoraggi ogni dipendente a cercare i problemi, trovarli, segnalarli, contribuire a risolverli e poi imparare dai problemi".
Sta imparando anche dai successi. Nella stessa settimana in cui Smith ha testimoniato davanti al Congresso, e quasi tre anni dopo l'impegno preso da Nadella al vertice di Biden, Microsoft ha fatto una nuova offerta , questa volta per "sostenere gli ospedali che servono oltre 60 milioni di persone che vivono nelle zone rurali degli Stati Uniti".
La strategia era la solita. Nel suo annuncio, l'azienda ha dichiarato che gli ospedali idonei avrebbero potuto avere l'equivalente del settore privato del G5 " gratuitamente per un anno ". Come in precedenza, Faehl ha affermato che Microsoft si era impegnata "su richiesta della Casa Bianca".
