Microsoft non ha rivelato dettagli chiave ai funzionari statunitensi riguardo agli ingegneri con sede in Cina, secondo quanto emerge da un documento — ProPublica
Microsoft, in quanto fornitore di servizi cloud per il governo degli Stati Uniti, è tenuta a presentare regolarmente ai funzionari piani di sicurezza che descrivano come l'azienda proteggerà i sistemi informatici federali.
Eppure, in un documento presentato al Dipartimento della Difesa nel 2025, il colosso tecnologico ha omesso dettagli chiave, tra cui l'impiego di dipendenti con sede in Cina, il principale avversario informatico degli Stati Uniti, per lavorare su sistemi dipartimentali altamente sensibili, secondo una copia ottenuta da ProPublica. Di fatto, il piano di Microsoft visionato da ProPublica non fa alcun riferimento alle attività dell'azienda in Cina o agli ingegneri stranieri.
Il documento smentisce le ripetute affermazioni di Microsoft secondo cui avrebbe comunicato l'accordo al governo federale, mostrando esattamente cosa è stato omesso quando ha presentato il suo piano di sicurezza al Dipartimento della Difesa. Il Pentagono sta indagando sull'utilizzo di personale straniero da parte di appaltatori IT in seguito a un'inchiesta di ProPublica del mese scorso che ha smascherato la pratica di Microsoft.
Il nostro lavoro ha dettagliato come Microsoft si affidi a "scorte digitali" – personale statunitense con autorizzazioni di sicurezza – per supervisionare gli ingegneri stranieri che si occupano della manutenzione dei sistemi cloud del Dipartimento della Difesa. Il dipartimento richiede che le persone che gestiscono dati sensibili siano cittadini statunitensi o residenti permanenti.
Il piano di sicurezza di Microsoft, datato 28 febbraio e presentato all'agenzia IT del Dipartimento del Lavoro, distingue tra il personale che ha superato i controlli di sicurezza per accedere alla piattaforma cloud Azure Government e quello che non li ha superati. Tuttavia, omette il fatto che tra i lavoratori non sottoposti a tali controlli figurano anche cittadini non statunitensi residenti all'estero. "Ogni qualvolta il personale non sottoposto a controlli richieda l'accesso ad Azure Government, un operatore che ha superato i controlli e ha accesso ad Azure Government fornisce l'accesso sotto scorta", afferma l'azienda nel suo piano.
Il documento omette inoltre di rivelare che gli addetti alla sicurezza digitale, sottoposti a controlli approfonditi, possono essere collaboratori esterni assunti da un'agenzia di reclutamento, e non dipendenti Microsoft. ProPublica ha scoperto che questi addetti, in molti casi ex militari selezionati in quanto in possesso di autorizzazioni di sicurezza attive, spesso non possiedono le competenze necessarie per supervisionare ingegneri con capacità tecniche ben più avanzate. Microsoft ha dichiarato a ProPublica che gli addetti alla sicurezza "ricevono una formazione specifica sulla protezione dei dati sensibili" e sulla prevenzione dei danni.
Il riferimento di Microsoft al modello di scorta si trova a circa due terzi del documento di 125 pagine, noto come "Piano di sicurezza del sistema", in diversi paragrafi sotto la voce "Accesso scortato". I funzionari governativi dovrebbero valutare questi piani per determinare se le misure di sicurezza in essi descritte siano accettabili.
Nelle interviste rilasciate a ProPublica, Microsoft ha sostenuto di aver reso noto l'accordo di scorta digitale nel piano e che il governo lo avesse approvato. Tuttavia, il Segretario alla Difesa Pete Hegseth e altri funzionari governativi hanno espresso shock e indignazione per il modello, sollevando interrogativi su cosa, esattamente, l'azienda abbia rivelato nel tentativo di aggiudicarsi e mantenere i contratti governativi per il cloud computing.
Nessuna delle parti coinvolte, tra cui Microsoft e il Dipartimento della Difesa, ha commentato le omissioni nel piano di sicurezza di quest'anno. Tuttavia, ex funzionari federali affermano ora che la natura indiretta della divulgazione, che ProPublica riporta per la prima volta, potrebbe spiegare tale discrepanza e probabilmente ha contribuito all'accettazione di tale pratica da parte del governo. Microsoft aveva precedentemente dichiarato a ProPublica che la sua documentazione sulla sicurezza destinata al governo, risalente a diversi anni prima, conteneva formulazioni simili in merito alle scorte.
John Sherman, ex responsabile informatico del Dipartimento della Difesa, che ha dichiarato di non conoscere il processo di scorta digitale prima dell'inchiesta di ProPublica, lo ha definito "un caso in cui non si è posta la domanda perfetta al fornitore, specificando ogni possibile condizione vietata".
In un post su LinkedIn riguardante l'inchiesta di ProPublica, Sherman ha affermato che una domanda del genere "avrebbe smascherato questa folle pratica di 'accompagnatori digitali'". Il suo post continuava: "Il Dipartimento della Difesa non può essere smascherato in questo modo. L'azienda deve ammettere di aver sbagliato e impegnarsi a non fare più cose che non superano una prova di buon senso".
Gli esperti hanno affermato che consentire a personale con sede in Cina di fornire supporto tecnico e manutenzione ai sistemi informatici del governo statunitense comporta gravi rischi per la sicurezza. Le leggi cinesi conferiscono ai funzionari del Paese ampi poteri di raccolta dati, e gli esperti sostengono che sia difficile per qualsiasi cittadino o azienda cinese opporsi in modo efficace a una richiesta diretta da parte delle forze di sicurezza o delle forze dell'ordine. L'Ufficio del Direttore dell'Intelligence Nazionale ha definito la Cina "la minaccia informatica più attiva e persistente per le reti del governo statunitense, del settore privato e delle infrastrutture critiche".
In seguito all'inchiesta di ProPublica del mese scorso, Microsoft ha dichiarato di aver interrotto l'utilizzo di ingegneri con sede in Cina per supportare i sistemi di cloud computing del Dipartimento della Difesa. L'azienda non ha risposto direttamente alle domande di ProPublica in merito al piano di sicurezza, limitandosi a rilasciare una dichiarazione in difesa della pratica di scorta.
"Le sessioni scortate sono state attentamente monitorate e integrate da diversi livelli di misure di sicurezza", si legge nella dichiarazione. "Tuttavia, in base ai feedback ricevuti, abbiamo aggiornato le nostre procedure per impedire qualsiasi coinvolgimento di ingegneri con sede in Cina."
Il senatore Tom Cotton, repubblicano e presidente della Commissione ristretta del Senato sull'intelligence, ha scritto a Hegseth il mese scorso suggerendo che il Dipartimento della Difesa dovesse rafforzare la supervisione sui suoi appaltatori e che le procedure attuali "non tengono conto della crescente minaccia cinese".
"Man mano che impariamo di più su queste 'scorte digitali' e su altre pratiche imprudenti, e persino oltraggiose, utilizzate da alcuni partner del Dipartimento della Difesa, è chiaro che il Dipartimento e il Congresso dovranno intraprendere ulteriori azioni", ha scritto Cotton. Ha poi aggiunto: "Dobbiamo mettere in atto protocolli e processi per adottare tecnologie innovative in modo rapido, efficace e sicuro".
Dal 2011, il governo utilizza il Federal Risk and Authorization Management Program , noto come FedRAMP, per valutare le pratiche di sicurezza delle aziende private che desiderano vendere servizi cloud al governo federale. Anche il Dipartimento della Difesa ha le proprie linee guida, che includono il requisito della cittadinanza per le persone che gestiscono dati sensibili.
Sia FedRAMP che il Dipartimento della Difesa si affidano a "organizzazioni di valutazione di terze parti" per valutare se i fornitori soddisfano i requisiti di sicurezza del cloud stabiliti dal governo. Sebbene il governo consideri queste organizzazioni "indipendenti", esse vengono assunte e pagate direttamente dall'azienda sottoposta a valutazione. Microsoft, ad esempio, ha dichiarato a ProPublica di essersi avvalsa di una società chiamata Kratos per essere guidata attraverso i processi iniziali di autorizzazione di FedRAMP e del Dipartimento della Difesa e per gestire le valutazioni annuali dopo aver ottenuto contratti federali.
Sul suo sito web, Kratossi definisce il "faro guida" per le organizzazioni che cercano di aggiudicarsi contratti governativi per il cloud e afferma di "vantare una comprovata esperienza nell'esecuzione di valutazioni di sicurezza di successo".
In una dichiarazione rilasciata a ProPublica, Kratos ha affermato che il suo lavoro consiste nel determinare "se i controlli di sicurezza sono documentati in modo accurato", ma l'azienda non ha specificato se Microsoft lo avesse fatto nel piano di sicurezza presentato all'agenzia IT del Dipartimento della Difesa.
Microsoft ha dichiarato a ProPublica di aver fornito a Kratos delle dimostrazioni della procedura di scorta, ma non direttamente ai funzionari federali. Il piano di sicurezza non fa alcun riferimento a tali dimostrazioni. Kratos non ha risposto alle domande in merito alla consapevolezza da parte dei suoi addetti alla valutazione della possibilità che tra il personale non sottoposto a controlli di sicurezza potessero esserci lavoratori stranieri.
Un ex dipendente di Microsoft che ha collaborato con Kratos durante diverse procedure di accreditamento FedRAMP ha paragonato il ruolo di Microsoft nel processo al "influenzare il testimone" per ottenere il risultato desiderato. "Il governo ha approvato ciò che abbiamo pagato a Kratos per dire al governo di approvare. Si paga per ottenere il risultato che si vuole", ha affermato l'ex dipendente, che ha chiesto di rimanere anonimo per poter discutere della procedura riservata.
Kratos ha dichiarato di "negare categoricamente l'affermazione, proveniente da una fonte anonima, secondo cui i servizi di Kratos sarebbero a pagamento". Nella sua dichiarazione, Kratos ha affermato di essere stata "accreditata e sottoposta a verifica da un gruppo industriale indipendente e senza scopo di lucro" per fattori che "includono imparzialità, competenza e indipendenza".
"Kratos assume e mantiene in organico i più qualificati esperti di sicurezza e tecnologia, tutti certificati", ha dichiarato l'azienda, aggiungendo che il suo personale "è al di sopra di ogni sospetto nel proprio lavoro".
Da parte sua, Microsoft ha affermato che l'assunzione di Kratos rientrava semplicemente nella procedura di valutazione del cloud prevista dal governo. "Come richiesto da FedRAMP, Microsoft si affida a questo valutatore certificato per condurre valutazioni indipendenti per nostro conto sotto la supervisione di FedRAMP", ha dichiarato Microsoft nel suo comunicato.
Tuttavia, i critici contestano il processo FedRAMP in sé, affermando che l'accordo in cui un'azienda paga il proprio revisore dei conti presenta un intrinseco conflitto di interessi. Un ex funzionario della General Services Administration statunitense, che gestisce il programma FedRAMP, ha paragonato la situazione a quella di un ristorante che assume e paga il proprio ispettore sanitario anziché affidare tale compito alla città.
La GSA non ha risposto alle richieste di commento.
La Defense Information Systems Agency (DISA), l'agenzia IT del Dipartimento della Difesa, ha esaminato e approvato il piano di sicurezza di Microsoft. Tra le persone coinvolte figuravano anche gli alti funzionari della DISA Roger Greenwell e Jackie Snouffer, secondo quanto riferito da fonti a conoscenza dei fatti. Nessuno dei due ha risposto ai messaggi telefonici con cui si chiedeva un commento, e i portavoce della DISA e del Dipartimento della Difesa non hanno risposto alla richiesta di intervista da parte di ProPublica.
Un portavoce della DISA ha rifiutato di commentare per questo articolo, affermando che "qualsiasi risposta proverrà dall'Ufficio per le relazioni pubbliche del Segretario della Difesa".
L'Ufficio del Segretario alla Difesa non ha risposto alle domande sul fatto che Greenwell e Snouffer, o chiunque altro alla DISA, fossero a conoscenza del fatto che i dipendenti di Microsoft con sede in Cina avrebbero fornito supporto al cloud del Dipartimento della Difesa. Un portavoce non ha inoltre risposto direttamente alle domande sul Piano di Sicurezza dei Sistemi di Microsoft, ma in una dichiarazione inviata via e-mail ha affermato che le informazioni contenute in tali piani sono considerate riservate. Il portavoce ha osservato che "qualsiasi processo che non sia conforme" alle restrizioni del dipartimento che impediscono agli stranieri di accedere a sistemi sensibili del dipartimento "rappresenta un rischio inaccettabile per l'infrastruttura del Dipartimento della Difesa".
Ciò detto, l'ufficio ha lasciato aperta la possibilità di continuare a impiegare ingegneri stranieri con scorta digitale per il "supporto infrastrutturale", affermando che "potrebbe essere considerato un rischio accettabile", a seconda di fattori che includono "il paese di origine del cittadino straniero" scortato. Il dipartimento ha precisato che in tali scenari i lavoratori stranieri avrebbero capacità di "sola visualizzazione", non di accesso "operativo". Oltre alla Cina, Microsoft opera in India, nell'Unione Europea e in altre parti del mondo.
In una dichiarazione rilasciata venerdì a ProPublica, l'ufficio di Hegseth ha affermato che l'indagine del Pentagono sull'utilizzo di personale straniero da parte delle aziende tecnologiche "è completa e abbiamo individuato una serie di possibili azioni che il Dipartimento potrebbe intraprendere". Un portavoce si è rifiutato di descrivere tali azioni o di dire se il dipartimento le metterà in atto. Non è chiaro se il piano di sicurezza di Microsoft o il ruolo della DISA nella sua approvazione siano stati oggetto della revisione.
"Come per tutti i rapporti contrattuali, il Dipartimento collabora direttamente con il fornitore per affrontare le problematiche, comprese quelle emerse con il processo di scorta digitale di Microsoft", ha dichiarato l'ufficio di Hegseth nel comunicato.
