Unclessify
Unclessify
Lingua
Nonostante i dubbi, gli esperti federali di sicurezza informatica hanno approvato il servizio cloud di Microsoft — ProPublica
ProPublica

Nonostante i dubbi, gli esperti federali di sicurezza informatica hanno approvato il servizio cloud di Microsoft — ProPublica

ProPublicaInternational2026public16/06/2026
#surveillance#technology#propublica#international#year 2026#investigation#declassified#cia

Fonte Proprietaria: ProPublicaInternational

Condividi:

Nota Legale

Questo contenuto e stato pubblicato da ProPublica. Tutti i diritti, responsabilita e accuratezza delle informazioni sono di esclusiva competenza di ProPublica. Unclessify si limita a indicizzare e rendere accessibile il contenuto declassificato.

Leggi il Disclaimer Completo →

Articolo Completo

Punti salienti del report "Cloud First": per spostare le agenzie federali sul cloud, il governo ha creato un programma noto come FedRAMP, il cui compito era garantire la sicurezza

Nonostante i dubbi, gli esperti federali di sicurezza informatica hanno approvato il servizio cloud di Microsoft — ProPublica

Punti salienti del report

  • "Cloud First": per migrare le agenzie federali sul cloud, il governo ha creato un programma noto come FedRAMP, il cui compito era garantire la sicurezza delle nuove tecnologie.
  • Fallimento nella sicurezza: ProPublica ha scoperto che FedRAMP ha autorizzato un prodotto Microsoft chiamato GCC High a gestire dati governativi sensibili, nonostante anni di preoccupazioni sulla sua sicurezza.
  • Potenziale conflitto di interessi: il governo si affida, in parte, a società terze per la valutazione delle tecnologie cloud, ma queste società vengono assunte e pagate dall'azienda oggetto della valutazione.

Questi estratti sono stati scritti dai giornalisti e dai redattori che hanno lavorato a questo articolo.

Alla fine del 2024, gli esperti di sicurezza informatica del governo federale hanno emesso un verdetto preoccupante su una delle principali offerte di cloud computing di Microsoft.

Secondo un rapporto interno del governo, visionato da ProPublica, la "mancanza di un'adeguata documentazione dettagliata sulla sicurezza" da parte del colosso tecnologico ha generato nei revisori "una mancanza di fiducia nella valutazione del livello di sicurezza complessivo del sistema".

Oppure, come ha detto un membro del team: "Il pacchetto è una schifezza".

Per anni, secondo i recensori, Microsoft ha cercato, senza successo, di spiegare in che modo protegge le informazioni sensibili nel cloud durante il loro trasferimento da un server all'altro attraverso il panorama digitale. Date queste e altre incognite, gli esperti governativi non sono stati in grado di garantire la sicurezza della tecnologia.

Sentenze di questo tipo sarebbero state devastanti per qualsiasi azienda che cercasse di vendere i propri prodotti al governo statunitense, ma avrebbero dovuto esserlo in modo particolare per Microsoft. I prodotti del colosso tecnologico erano stati al centro di due importanti attacchi informatici contro gli Stati Uniti in tre anni. In un caso, hacker russi avevano sfruttato una vulnerabilità per rubare dati sensibili da diverse agenzie federali, tra cui la National Nuclear Security Administration. Nell'altro, hacker cinesi si erano infiltrati negli account di posta elettronica di un membro del governo e di altri alti funzionari.

Il governo federale potrebbe essere ulteriormente esposto se non fosse in grado di verificare la sicurezza informatica di Microsoft Government Community Cloud High, una suite di servizi basati sul cloud pensata per proteggere alcune delle informazioni più sensibili del Paese.

Eppure, con una mossa del tutto insolita che continua a far discutere a Washington, il Federal Risk and Authorization Management Program, o FedRAMP, ha comunque autorizzato il prodotto, conferendogli di fatto il sigillo di approvazione del governo federale in materia di sicurezza informatica. La decisione del FedRAMP, che includeva una sorta di avvertimento per qualsiasi agenzia federale che stesse valutando l'acquisto di GCC High, ha contribuito all'espansione di un impero commerciale governativo di Microsoft del valore di miliardi di dollari.

"BOOM SHAKA LAKA", si è vantato Richard Wakeman, uno dei principali architetti della sicurezza dell'azienda, in un forum online, celebrando il traguardo con un meme di Leonardo DiCaprio in "The Wolf of Wall Street". Wakeman non ha risposto alle richieste di commento.

Non era certo questo il risultato che i responsabili politici federali si aspettavano quindici anni fa, quando abbracciarono la rivoluzione del cloud e crearono FedRAMP per contribuire a salvaguardare la sicurezza informatica del governo. I diversi livelli di verifica del programma, che includevano una valutazione da parte di esperti esterni, avrebbero dovuto garantire che fornitori di servizi come Microsoft potessero essere considerati affidabili nella gestione dei segreti governativi. Ma l'inchiesta di ProPublica, basata su promemoria interni di FedRAMP, registri, e-mail, verbali di riunioni e interviste a sette ex e attuali dipendenti e collaboratori governativi, ha riscontrato falle in ogni fase del processo. Ha inoltre rilevato una notevole deferenza nei confronti di Microsoft, nonostante i prodotti e le pratiche dell'azienda siano stati al centro di due dei più dannosi attacchi informatici mai perpetrati contro il governo.

Questa non è sicurezza. Questa è una messinscena di sicurezza.

Tony Sager, ex informatico della NSA

Questa non è sicurezza. Questa è una messinscena di sicurezza.

Tony Sager, ex informatico della NSA

Questa non è sicurezza. Questa è una messinscena di sicurezza.

Nel 2020, FedRAMP sollevò per la prima volta dubbi sulla sicurezza di GCC High, chiedendo a Microsoft di fornire diagrammi dettagliati che illustrassero le sue pratiche di crittografia. Tuttavia, quando l'azienda fornì, in modo frammentario e a tratti incompleto, informazioni che FedRAMP considerò insufficienti, i funzionari del programma non respinsero la richiesta di Microsoft. Al contrario, elusero ripetutamente la decisione, lasciando che la revisione si protraesse per quasi cinque anni. E poiché alle agenzie federali fu consentito di implementare il prodotto durante la fase di revisione, GCC High si diffuse sia all'interno del governo che nell'industria della difesa. Verso la fine del 2024, i revisori di FedRAMP conclusero di non avere altra scelta se non quella di autorizzare la tecnologia, non perché le loro domande avessero trovato risposta o la revisione fosse completa, ma principalmente perché il prodotto di Microsoft era già in uso a Washington.

Oggi, settori chiave del governo federale, tra cui i dipartimenti di Giustizia ed Energia e il settore della difesa, si affidano a questa tecnologia per proteggere informazioni altamente sensibili che, se divulgate, "potrebbero avere un effetto negativo grave o catastrofico" su operazioni, beni e individui, ha affermato il governo.

"Questa non è una storia a lieto fine in termini di sicurezza degli Stati Uniti", ha affermato Tony Sager , che ha trascorso più di trent'anni come informatico presso la National Security Agency e ora è dirigente del Center for Internet Security, un'organizzazione senza scopo di lucro.

Per anni, il processo FedRAMP è stato equiparato a una reale sicurezza, ha affermato Sager. Le scoperte di ProPublica, ha aggiunto, infrangono questa facciata.

«Questa non è sicurezza», ha detto. «Questa è una messinscena di sicurezza».

The U.S. Capitol building at night with a red light in the corner.
Nonostante una "mancanza di fiducia nella valutazione" della sicurezza di GCC High di Microsoft, FedRAMP ha comunque autorizzato il prodotto. Alex Wong/Getty Images
The U.S. Capitol building at night with a red light in the corner.

ProPublica sta svelando per la prima volta le riserve del governo su questo popolare prodotto. Stiamo inoltre rivelando l'incapacità, protrattasi per anni, di Microsoft di fornire la documentazione e le prove relative alla crittografia richieste dagli organi di controllo federali.

Le rivelazioni giungono mentre il Dipartimento di Giustizia intensifica i controlli sui fornitori di servizi tecnologici del governo. A dicembre, il dipartimento ha annunciato l'incriminazione di un'ex dipendente di Accenture, accusata di aver fornito informazioni fuorvianti alle agenzie federali in merito alla sicurezza della piattaforma cloud dell'azienda e alla sua conformità agli standard FedRAMP. La donna si è dichiarata non colpevole. Accenture, che non è stata accusata di alcun illecito, ha affermato di aver "portato proattivamente la questione all'attenzione del governo" e di essere "impegnata a operare secondo i più elevati standard etici".

Anche Microsoft ha dovuto rispondere a domande sulle informazioni divulgate al governo. Come riportato da ProPublica lo scorso anno, l'azienda non ha informato il Dipartimento della Difesa dell'utilizzo di ingegneri con sede in Cina per la manutenzione dei sistemi cloud governativi, nonostante le norme del Pentagono stabiliscano che "nessun cittadino straniero può avere" accesso ai dati più sensibili. Il dipartimento sta indagando su questa pratica , che secondo i funzionari potrebbe aver compromesso la sicurezza nazionale.

Microsoft ha difeso il suo programma affermando che è "strettamente monitorato e integrato da diversi livelli di misure di sicurezza", ma dopo la pubblicazione dell'articolo di ProPublica lo scorso luglio, l'azienda ha annunciato che avrebbe smesso di utilizzare ingegneri con sede in Cina per i progetti del Dipartimento della Difesa.

In risposta alle domande scritte per questo articolo e in un'intervista, Microsoft ha riconosciuto il lungo scontro con FedRAMP, ma ha anche affermato di aver fornito una "documentazione completa" durante l'intero processo di revisione e di aver "risolto le problematiche riscontrate laddove possibile".

"Confermiamo la validità dei nostri prodotti e le misure complete che abbiamo adottato per garantire che tutti i prodotti autorizzati da FedRAMP soddisfino i requisiti di sicurezza e conformità necessari", ha dichiarato un portavoce in un comunicato, aggiungendo che l'azienda "continuerà a collaborare con FedRAMP per rivedere e valutare costantemente i nostri servizi al fine di mantenerne la conformità".

Ma, come ha scoperto ProPublica, oggigiorno non sono rimaste molte persone al FedRAMP con cui collaborare.

Il programma è stato uno dei primi obiettivi del Dipartimento per l'Efficienza Governativa dell'amministrazione Trump, che ne ha drasticamente ridotto il personale e il budget. Persino FedRAMP ammette di operare "con il minimo indispensabile di personale di supporto" e "un servizio clienti limitato". I circa venti dipendenti rimasti sono "interamente concentrati" sul rilascio delle autorizzazioni a un ritmo record, ha dichiarato il direttore di FedRAMP . Oggi, il suo budget annuale è di soli 10 milioni di dollari, il più basso degli ultimi dieci anni, nonostante abbia registrato numeri record di nuove autorizzazioni per i prodotti cloud.

La conseguenza di tutto ciò, come hanno riferito a ProPublica alcune persone che hanno lavorato per FedRAMP, è che il programma ora non è altro che un timbro di gomma per l'industria. Le implicazioni di una simile riduzione per la sicurezza informatica federale sono di vasta portata, soprattutto perché l'amministrazione incoraggia le agenzie ad adottare strumenti di intelligenza artificiale basati sul cloud, che attingono a enormi quantità di informazioni sensibili.

La General Services Administration (GSA), che gestisce FedRAMP, ha difeso il programma, affermando che ha subito "riforme significative per rafforzare la governance" da quando GCC High è arrivata nel 2020. "Il ruolo di FedRAMP è quello di valutare se i servizi cloud abbiano fornito informazioni e materiali sufficienti per essere considerati adeguati all'uso da parte dell'agenzia, e il programma oggi opera con meccanismi di supervisione e responsabilità rafforzati proprio per questo scopo", ha dichiarato un portavoce della GSA in una dichiarazione inviata via e-mail.

L'agenzia non ha risposto alle domande scritte riguardanti la GCC High.

Un mondo "Prima le nuvole".

Circa vent'anni fa, i funzionari federali predissero che la rivoluzione del cloud, che avrebbe fornito accesso on-demand a risorse informatiche condivise tramite Internet, avrebbe inaugurato un'era di tecnologie informatiche più economiche, sicure ed efficienti.

Il passaggio al cloud ha comportato il passaggio da server locali di proprietà e gestiti dal governo a server situati in enormi data center gestiti da aziende tecnologiche. Alcuni dirigenti delle agenzie erano riluttanti a cedere il controllo, mentre altri non vedevano l'ora di farlo.

Nel tentativo di accelerare la transizione, l'amministrazione Obama ha emanato nel 2011 la sua politica "Cloud First", che imponeva a tutte le agenzie di implementare strumenti basati sul cloud "ogniqualvolta esistesse un'opzione sicura, affidabile ed economicamente vantaggiosa". Per facilitare l'adozione, l'amministrazione ha creato FedRAMP, il cui compito era garantire la sicurezza di tali strumenti .

Il sistema FedRAMP, basato sul principio "fai una volta, usa molte volte", è stato concepito per semplificare e rafforzare il processo di appalto pubblico. In precedenza, ogni agenzia che utilizzava un servizio cloud lo valutava separatamente, applicando talvolta interpretazioni diverse dei requisiti di sicurezza federali. Con il nuovo programma, le agenzie avrebbero potuto evitare verifiche di sicurezza ridondanti, poiché l'autorizzazione FedRAMP indicava che il prodotto soddisfaceva già i requisiti standardizzati. I prodotti autorizzati sarebbero stati elencati su un sito web governativo noto come FedRAMP Marketplace.

Sulla carta, il programma era un esercizio di efficienza. Ma in pratica, il piccolo team di FedRAMP non è riuscito a tenere il passo con l'enorme richiesta proveniente dalle aziende tecnologiche che volevano ottenere l'autorizzazione per i propri prodotti.

La lentezza del processo di approvazione ha frustrato sia l'industria tecnologica, desiderosa di accaparrarsi una parte dei miliardi di dollari federali in palio, sia le agenzie governative, sotto pressione per migrare al cloud. Queste dinamiche hanno talvolta contrapposto l'industria del cloud e i funzionari delle agenzie al programma FedRAMP. L'arretrato ha inoltre spinto molte agenzie a intraprendere una strada alternativa: effettuare autonomamente le valutazioni dei prodotti che intendevano adottare, utilizzando gli standard di FedRAMP.

È stato attraverso questo "percorso burocratico" che GCC High è entrato a far parte del sistema federale, con il Dipartimento di Giustizia a fare da apripista. Inizialmente, alcuni funzionari del Dipartimento di Giustizia erano preoccupati per il cloud e per chi avrebbe potuto accedere alle sue informazioni, che includono registri giudiziari e delle forze dell'ordine altamente sensibili, ha dichiarato a ProPublica un funzionario del Dipartimento di Giustizia coinvolto nella decisione. Il programma di sicurezza informatica del dipartimento richiedeva che solo i cittadini statunitensi "avessero accesso o avessero contribuito allo sviluppo, al funzionamento, alla gestione o alla manutenzione" dei suoi sistemi IT, a meno che non fosse stata concessa una deroga. Gli specialisti IT del Dipartimento di Giustizia hanno raccomandato di affidarsi a GCC High, ritenendo che potesse soddisfare le elevate esigenze di sicurezza, secondo il funzionario, che ha parlato a condizione di anonimato perché non autorizzato a discutere di questioni interne.

In conformità con le norme FedRAMP, Microsoft ha fatto valutare GCC High da un'organizzazione di valutazione di terze parti, il cui compito è quello di fornire una revisione indipendente sulla conformità del prodotto agli standard federali. Il Dipartimento di Giustizia ha quindi effettuato una propria valutazione di GCC High utilizzando tali standard e ha giudicato l'offerta accettabile.

A smiling woman with long brown hair wearing a pink shirt and silver necklace poses in front of a U.S. flag.
Melinda Rogers, ex responsabile dell'ufficio informazioni del Dipartimento di Giustizia degli Stati Uniti (Archivi del Dipartimento di Giustizia degli Stati Uniti)
A smiling woman with long brown hair wearing a pink shirt and silver necklace poses in front of a U.S. flag.

All'inizio del 2020, Melinda Rogers, vice responsabile dei sistemi informativi del Dipartimento di Giustizia, ha ufficializzato la decisione e ha presto implementato GCC High in tutto il dipartimento.

Si trattava di una pietra miliare per tutti i soggetti coinvolti. Rogers aveva introdotto il Dipartimento di Giustizia nel cloud e Microsoft si era assicurata una posizione di rilievo nel mercato spietato del cloud computing per il governo federale.

Inoltre, la decisione di Rogers ha inserito GCC High nel FedRAMP Marketplace, l'influente piattaforma online governativa che elenca tutti i fornitori di servizi cloud in fase di valutazione o già autorizzati. La sua semplice menzione come "in corso di elaborazione" è stata un vantaggio per Microsoft, equivalendo a pubblicità gratuita su un sito web utilizzato dalle organizzazioni che cercano di acquistare servizi cloud che recano quello che è ampiamente considerato il sigillo di approvazione governativo in materia di sicurezza informatica.

Nell'aprile di quell'anno, la GCC High arrivò presso la sede di FedRAMP per la valutazione, l'ultima tappa del suo percorso burocratico verso la piena autorizzazione.

Le informazioni mancanti di Microsoft

In teoria, il team di FedRAMP non avrebbe dovuto fare molto dopo che il valutatore esterno e il Dipartimento di Giustizia avessero esaminato GCC High, poiché tutte le parti avrebbero dovuto rispettare gli stessi requisiti.

Fu proprio in questo periodo che il Government Accountability Office (GAO), l'organismo che indaga sui programmi federali, scoprì delle lacune nel processo , rilevando che le revisioni da parte delle agenzie a volte erano di scarsa qualità. Nonostante la mancanza di dettagli, il programma FedRAMP continuò ad autorizzare molti di questi pacchetti. Riconoscendo queste carenze, il FedRAMP iniziò a esaminare più attentamente i nuovi pacchetti, ha affermato un ex addetto alle revisioni.

Questo era il contesto in cui la richiesta di Microsoft per il programma GCC High è entrata in fase di valutazione. Il nome GCC High era un termine generico che racchiudeva numerosi servizi e funzionalità all'interno di Office 365, tutti da sottoporre a revisione. I revisori di FedRAMP si sono subito accorti della mancanza di informazioni chiave.

Il team si è concentrato su quello che considerava un documento fondamentale, chiamato "diagramma di flusso dei dati", come hanno riferito ex membri a ProPublica. L'illustrazione dovrebbe mostrare come i dati viaggiano dal punto A al punto B e, soprattutto, come vengono protetti durante il passaggio da un server all'altro. FedRAMP richiede che i dati siano crittografati durante il transito per garantire che le informazioni sensibili siano protette anche se intercettate dagli hacker.

Ma quando il team FedRAMP ha chiesto a Microsoft di produrre i diagrammi che mostravano come sarebbe avvenuta tale crittografia per ciascun servizio in GCC High, l'azienda si è rifiutata, affermando che la richiesta era troppo complessa. Pertanto, i revisori hanno suggerito di iniziare con Exchange Online, la popolare piattaforma di posta elettronica.

"Questo era il nostro test decisivo per dire: 'Non è l'unico requisito, ma se non lo rispettate, siamo ancora lontani dall'obiettivo'", ha affermato un revisore che ha parlato a condizione di anonimato perché non autorizzato a discutere di questioni interne. Una volta raggiunto il livello di dettaglio appropriato, sarebbero passati da Exchange ad altri servizi all'interno di GCC High.

Si trattava di un livello di dettaglio che altri importanti fornitori di servizi cloud, come Amazon e Google, fornivano abitualmente, hanno dichiarato a ProPublica i membri del team FedRAMP. Eppure Microsoft ha impiegato mesi per rispondere. Quando lo ha fatto, ha affermato l'ex revisore, ha presentato un white paper che discuteva la strategia di crittografia di GCC High, ma ometteva i dettagli su dove, durante il percorso, i dati venissero effettivamente crittografati e decrittografati, impedendo così a FedRAMP di valutare se il processo venisse eseguito correttamente.

Un portavoce di Microsoft ha riconosciuto che l'azienda aveva "espresso una difficoltà legata alla rappresentazione grafica della grande quantità di informazioni richieste", ma "trovato modi alternativi per condividere tali informazioni".

Rogers, assunta da Microsoft nel 2025, ha rifiutato di rilasciare un'intervista. In risposta alle domande inviate via e-mail, l'azienda ha rilasciato una dichiarazione in cui afferma che "conferma la rigorosa valutazione che ha contribuito" alla sua autorizzazione di GCC High. Un portavoce ha dichiarato che non vi è "assolutamente alcun collegamento" tra la sua assunzione e le decisioni prese nell'ambito del processo GCC High, e che sia lei che l'azienda hanno rispettato "tutte le norme, i regolamenti e gli standard etici".

Il Dipartimento di Giustizia si è rifiutato di rispondere alle domande scritte di ProPublica.

Una lite per le "torte di spaghetti"

Con la fine del 2020, Washington è stata colpita da una crisi di sicurezza nazionale che ha evidenziato le conseguenze della vulnerabilità informatica. Hacker russi, sostenuti dallo stato, avevano lavorato silenziosamente per gran parte dell'anno all'interno dei sistemi informatici federali, sottraendo dati sensibili ed e-mail dalle agenzie statunitensi, incluso il Dipartimento di Giustizia .

All'epoca, la maggior parte della colpa ricadde su un'azienda texana chiamata SolarWinds, il cui software fornì agli hacker l'apertura iniziale e il cui nome divenne sinonimo dell'attacco. Ma, come riportato da ProPublica , i russi sfruttarono quella falla per sfruttare una debolezza di vecchia data in un prodotto Microsoft, una vulnerabilità che l'azienda si era rifiutata di correggere per anni, nonostante i ripetuti avvertimenti di uno dei suoi ingegneri. Microsoft ha difeso la sua decisione di non intervenire sulla falla, affermando di aver ricevuto "numerose revisioni" e che l'azienda valuta una varietà di fattori quando prende decisioni in materia di sicurezza.

In seguito a questi eventi, l'amministrazione Biden ha adottato misure per rafforzare la sicurezza informatica del Paese. Tra queste, nel 2021 il Dipartimento di Giustizia ha annunciato un'iniziativa contro le frodi informatiche per contrastare aziende e individui che "mettono a rischio le informazioni o i sistemi statunitensi fornendo consapevolmente prodotti o servizi di sicurezza informatica inadeguati, fornendo consapevolmente informazioni false sulle proprie pratiche o protocolli di sicurezza informatica, o violando consapevolmente gli obblighi di monitoraggio e segnalazione di incidenti e violazioni della sicurezza informatica".

Il vice procuratore generale Lisa Monaco ha dichiarato che il dipartimento utilizzerà il False Claims Act per perseguire gli appaltatori governativi "quando non rispettano gli standard di sicurezza informatica richiesti, perché sappiamo che questo mette a rischio tutti noi".

A woman with chin-length brown hair in a blue blazer looks toward the camera. Abstract blue and red light patterns blur in the foreground and background.
L'ex vice procuratrice generale Lisa Monaco. Dopo che hacker russi sponsorizzati dallo stato hanno rubato dati sensibili da agenzie statunitensi, Monaco ha affermato che il Dipartimento di Giustizia avrebbe ritenuto responsabili gli appaltatori governativi che non avessero rispettato gli standard di sicurezza informatica. Stefani Reynolds/AFP via Getty Images
A woman with chin-length brown hair in a blue blazer looks toward the camera. Abstract blue and red light patterns blur in the foreground and background.

Ma se Microsoft ha avvertito qualche pressione a seguito dell'attacco a SolarWinds o dell'annuncio del Dipartimento di Giustizia, ciò non si è manifestato nei negoziati FedRAMP, stando a quanto affermato da ex membri del team FedRAMP.

Il dialogo tra FedRAMP e Microsoft si è sviluppato secondo uno schema preciso. Le parti si incontravano, passavano mesi e Microsoft rispondeva con una documentazione che FedRAMP giudicava incompleta o irrilevante. Per aumentare le probabilità di ottenere le informazioni desiderate, il team di FedRAMP ha fornito a Microsoft un modello, specificando il livello di dettaglio richiesto. Tuttavia, i diagrammi restituiti da Microsoft non soddisfacevano mai tali aspettative.

"Non siamo mai andati oltre Exchange", ha detto un ex recensore. "Non abbiamo mai ottenuto quel livello di dettaglio. Non avevamo alcuna visibilità all'interno."

In un'intervista con ProPublica, John Bergin, il funzionario Microsoft che è diventato il principale referente del governo, ha riconosciuto il lungo scambio di comunicazioni, ma ha attribuito la colpa a FedRAMP, paragonando le sue richieste di diagrammi a una "corsa a pietre".

"Forse eravamo incompetenti nel modo in cui realizzavamo i disegni perché non esisteva uno standard da seguire", ha affermato. "Non li abbiamo realizzati esattamente come volevano? Assolutamente sì. Mancava sempre qualcosa perché non c'era uno standard."

Un portavoce di Microsoft ha affermato che, in assenza di uno standard di questo tipo, "i fornitori di servizi cloud erano lasciati liberi di interpretare autonomamente il livello di astrazione e rappresentazione", creando "incoerenza e confusione, non una mancanza di volontà di trasparenza".

Ma persino gli ingegneri di Microsoft hanno faticato nel corso degli anni a mappare l'architettura dei suoi prodotti, secondo due persone coinvolte nella creazione di servizi cloud utilizzati da clienti federali. Il problema, secondo fonti che conoscono la tecnologia di Microsoft, era il codice obsoleto del suo software legacy, risalente a decenni fa, che l'azienda utilizzava per costruire i suoi servizi cloud.

Un revisore di FedRAMP l'ha paragonato a un "mucchio di tortini di spaghetti". Il percorso dei dati dal punto A al punto B, ha affermato, è come viaggiare da Washington a New York con deviazioni in autobus, traghetto e aereo, invece di fare un breve viaggio in treno. E ognuna di queste deviazioni rappresenta un'opportunità di dirottamento se i dati non sono crittografati correttamente.

Altri importanti fornitori di servizi cloud, come Amazon e Google, hanno costruito i loro sistemi da zero, ha affermato Sager, ex informatico della NSA, che ha lavorato con tutte e tre le aziende durante il suo periodo al servizio del governo.

Il sistema di Microsoft "non è progettato per questo tipo di isolamento tra 'sicuro' e 'non sicuro'", ha affermato Sager.

Un portavoce di Microsoft ha riconosciuto che l'azienda si trova ad affrontare una sfida senza precedenti, ma ha ribadito che i suoi prodotti cloud soddisfano i requisiti di sicurezza federali.

"A differenza dei fornitori che hanno iniziato più tardi con una gamma di prodotti più ristretta, Microsoft gestisce una delle piattaforme aziendali e governative più ampie al mondo, garantendo la continuità operativa per milioni di clienti e modernizzando al contempo i sistemi su larga scala", ha affermato il portavoce nelle risposte inviate via e-mail. "Questa complessità non è un groviglio inestricabile, ma implica che il lavoro di districazione, isolamento e rafforzamento dei sistemi sia continuo."

Il portavoce ha affermato che dal 2023 Microsoft ha reso "la riprogettazione architetturale incentrata sulla sicurezza, la riduzione dei rischi legati ai sistemi legacy e garanzie di isolamento più solide una priorità assoluta a livello aziendale".

Segnalazioni informatiche non ufficiali da parte dei valutatori

Il team FedRAMP non è stato l'unico ad avere riserve su GCC High. Anche le organizzazioni di valutazione di terze parti incaricate da Microsoft hanno espresso preoccupazioni.

Le società incaricate della valutazione dovrebbero essere indipendenti, ma vengono assunte e pagate dall'azienda oggetto della valutazione stessa. Riconoscendo il potenziale conflitto di interessi , FedRAMP ha incoraggiato le società di valutazione a comunicare in via riservata ai revisori qualsiasi feedback negativo che non fossero disposte a presentare direttamente ai propri clienti o a includere nei rapporti ufficiali.

Nel 2020, due società di valutazione esterne ingaggiate da Microsoft, Coalfire e Kratos, hanno fatto proprio questo. Hanno dichiarato a FedRAMP di non essere state in grado di ottenere un quadro completo di GCC High, come ha riferito a ProPublica un ex revisore di FedRAMP.

"Sia Coalfire che Kratos hanno ammesso senza esitazione che era difficile, se non impossibile, ottenere da Microsoft le informazioni necessarie per effettuare una valutazione adeguata", ha dichiarato il recensore a ProPublica.

Il canale informale ha contribuito a far emergere problemi di sicurezza informatica che altrimenti non sarebbero mai venuti a conoscenza del governo, hanno dichiarato a ProPublica persone che hanno lavorato con e per FedRAMP. Allo stesso tempo, hanno riconosciuto che la sua esistenza ha minato lo spirito e l'intento stesso di avere valutatori indipendenti.

Un portavoce di Coalfire, la società che inizialmente si è occupata della valutazione GCC High, ha richiesto a ProPublica di inviare domande per iscritto, per poi rifiutarsi di rispondere.

Un portavoce di Kratos, che ha sostituito Coalfire come valutatore di GCC High, ha declinato la richiesta di intervista. In una risposta via e-mail a domande scritte, il portavoce ha affermato che l'azienda conferma la sua valutazione ufficiale e la raccomandazione di GCC High e "smentisce categoricamente" di aver "mai approvato un prodotto che non siamo stati in grado di vagliare completamente". L'azienda "ha conversazioni aperte e franche" con tutti i clienti, inclusa Microsoft, che "ha presentato tutti i diagrammi necessari per soddisfare i requisiti definiti da FedRAMP", ha aggiunto il portavoce.

Kratos ha dichiarato di aver "dedicato molto tempo a collaborare con FedRAMP nella loro revisione" e di non considerare tali discussioni come "informazioni non ufficiali".

FedRAMP, tuttavia, era insoddisfatta del lavoro svolto da Kratos e riteneva che l'azienda "avrebbe dovuto opporsi maggiormente" a Microsoft, ha affermato l'ex valutatore. Ha quindi inserito Kratos in un "piano di azioni correttive", che potrebbe eventualmente portare alla perdita dell'accreditamento. L'azienda ha dichiarato di non essere d'accordo con la decisione di FedRAMP, ma ha fornito "corsi di formazione aggiuntivi per alcuni valutatori interni" in risposta.

Il portavoce di Microsoft ha dichiarato a ProPublica che l'azienda "è sempre stata disponibile a rispondere alle richieste" di Kratos e FedRAMP. "Non siamo a conoscenza di alcun canale di comunicazione riservato, né riteniamo che sarebbe stato necessario, data la nostra trasparenza e la collaborazione con le richieste dei revisori", ha affermato il portavoce.

In risposta alle domande di ProPublica in merito alla procedura, la GSA ha dichiarato via e-mail che il sistema FedRAMP "non crea un conflitto di interessi intrinseco per i revisori contabili professionisti che soddisfano i requisiti etici e contrattuali in materia di prestazioni".

La GSA non ha risposto alle domande sui canali informali, ma ha affermato che la "procedura corretta" prevede che un valutatore esterno "formalizzi questi problemi in un rapporto durante la valutazione della sicurezza, in modo che il fornitore di servizi cloud abbia l'opportunità di risolvere il problema".

FedRAMP interrompe i negoziati

A silhouette of a person wearing a shoulder bag is surrounded by shadow. Behind the person is a large building full of windows and a blue sky.
FedRAMP fa capo alla General Services Administration, all'interno del governo federale. Al Drago/Bloomberg via Getty Images
A silhouette of a person wearing a shoulder bag is surrounded by shadow. Behind the person is a large building full of windows and a blue sky.

Lo scambio di opinioni tra i revisori del programma FedRAMP e il team di Microsoft si è protratto per anni con scarsi progressi. Poi, nell'estate del 2023, il direttore ad interim del programma, Brian Conrad, ha ricevuto una telefonata dalla Casa Bianca che avrebbe cambiato il corso della revisione.

Hacker sponsorizzati dallo stato cinese si erano infiltrati in GCC, la versione a basso costo del cloud governativo di Microsoft, e avevano rubato dati ed e-mail al segretario al commercio, all'ambasciatore statunitense in Cina e ad altri alti funzionari governativi. In seguito all'accaduto, Chris DeRusha, responsabile della sicurezza informatica della Casa Bianca, ha richiesto un briefing a FedRAMP, l'ente che aveva autorizzato GCC.

La decisione risale a prima dell'inizio del mandato di Conrad, ma quest'ultimo ha dichiarato a ProPublica di aver tratto diversi spunti di riflessione dalla conversazione. In primo luogo, FedRAMP deve imporre gli stessi standard a tutti i fornitori di servizi cloud, inclusa Microsoft. In secondo luogo, ha ottenuto il sostegno della Casa Bianca nel mantenere la posizione. Infine, FedRAMP subirebbe pressioni politiche qualora un qualsiasi servizio cloud autorizzato da FedRAMP venisse violato.

DeRusha ha confermato la versione di Conrad sulla telefonata, ma si è rifiutato di rilasciare ulteriori commenti.

Nel giro di pochi mesi, Conrad informò Microsoft che FedRAMP avrebbe interrotto la collaborazione con GCC High.

Non riusciamo nemmeno a quantificare le incognite, e questo ci mette molto a disagio.

Revisore FedRAMP dell'Alta Corte del GCC

Non riusciamo nemmeno a quantificare le incognite, e questo ci mette molto a disagio.

Revisore FedRAMP dell'Alta Corte del GCC

Non riusciamo nemmeno a quantificare le incognite, e questo ci mette molto a disagio.

"Dopo tre anni di collaborazione con il team Microsoft, continuiamo a non avere visibilità sulle falle di sicurezza perché ci sono incognite che Microsoft non è riuscita a risolvere", ha scritto Conrad in un'e-mail dell'ottobre 2023. Questo, ha aggiunto, non era dovuto alla mancanza di impegno da parte di FedRAMP. Il personale aveva dedicato 480 ore alla revisione, condotto 18 sessioni di "approfondimento tecnico" e avuto numerosi scambi di e-mail con l'azienda nel corso degli anni. Eppure, mancavano ancora i diagrammi di flusso dei dati, informazioni cruciali "dato che la visibilità sullo stato di crittografia di tutti i flussi e archivi di dati è fondamentale", ha scritto.

Se Microsoft desiderasse ancora l'autorizzazione FedRAMP, scrisse Conrad, dovrebbe ricominciare tutto da capo.

Un revisore del programma FedRAMP, spiegando la decisione al Dipartimento di Giustizia, ha affermato che il team "non stava chiedendo nulla di più di quanto abbiamo chiesto a tutti gli altri" fornitori di servizi cloud, secondo i verbali della riunione visionati da ProPublica. Tuttavia, la richiesta era particolarmente giustificata nel caso di Microsoft, ha detto il revisore ai funzionari del Dipartimento di Giustizia, perché "ogni volta che siamo riusciti ad avere visibilità su una scatola nera, abbiamo scoperto un problema".

"Non riusciamo nemmeno a quantificare le incognite, il che ci mette molto a disagio", ha affermato il revisore, secondo quanto riportato nel verbale.

Microsoft e il Dipartimento di Giustizia reagiscono

Microsoft era furiosa. Non riuscire a ottenere l'autorizzazione e dover ricominciare da capo l'intero processo avrebbe segnalato al mercato che qualcosa non andava con GCC High. I clienti erano già confusi e preoccupati per la lunga procedura di revisione, che era diventata un argomento scottante in un forum online frequentato da funzionari governativi e addetti ai lavori del settore tecnologico. Lì, Wakeman, l'architetto della sicurezza informatica di Microsoft, scaricò le colpe, affermando che il governo "stava prendendo tempo da anni".

Nel frattempo, per ottenere sostegno alla causa di Microsoft, Bergin, il referente dell'azienda per il programma FedRAMP ed ex ufficiale dell'esercito, ha contattato i leader governativi, tra cui uno del Dipartimento di Giustizia.

Il funzionario del Dipartimento di Giustizia, che ha parlato a condizione di anonimato perché non autorizzato a discutere la questione, ha affermato che Bergin si è lamentato del fatto che il ritardo stesse ostacolando la capacità di Microsoft di "lanciare il prodotto sul mercato a pieno regime". Bergin ha quindi spinto il Dipartimento di Giustizia a "fare pressione" per contribuire a ottenere l'autorizzazione FedRAMP, ha aggiunto il funzionario.

A man with short black hair and goatee and wearing glasses and a suit slightly smiles in front of a U.S. flag and another flag.
John Bergin nel 2019, mentre ricopriva la carica di vice assistente segretario dell'Esercito per la gestione delle informazioni finanziarie. Successivamente è stato assunto da Microsoft e ha svolto il ruolo di collegamento dell'azienda con FedRAMP durante il dibattito GCC High. Servizio di distribuzione delle informazioni visive della difesa
A man with short black hair and goatee and wearing glasses and a suit slightly smiles in front of a U.S. flag and another flag.

Quel dicembre, mentre le parti si riunivano per discutere la questione presso la sede della GSA a Washington, Justice fece proprio questo. Rogers, che nel frattempo era stato promosso a responsabile informatico del dipartimento, sedeva accanto a Bergin, sul lato opposto del tavolo rispetto a Conrad, il direttore del programma FedRAMP.

Rogers e i suoi colleghi del Dipartimento di Giustizia avevano un interesse diretto nell'esito della vicenda. Da quando aveva autorizzato e implementato GCC High, aveva ricevuto riconoscimenti per il suo lavoro di modernizzazione dell'IT e della sicurezza informatica del dipartimento. Ma senza l'approvazione di FedRAMP, sarebbe stata lei la funzionaria governativa a doverne pagare le conseguenze in caso di un grave attacco informatico a GCC High. Allo stesso tempo, il Dipartimento di Giustizia non poteva semplicemente rinunciare all'utilizzo di GCC High, perché una volta che una tecnologia è ampiamente diffusa, interromperne l'uso può essere costoso e tecnicamente complesso . Inoltre, dal suo punto di vista, il cloud rappresentava un miglioramento rispetto ai vecchi data center gestiti dal governo.

Poco dopo l'inizio della riunione, Bergin ha interrotto un revisore di FedRAMP che stava presentando delle slide di PowerPoint. Ha affermato che il Dipartimento di Giustizia e il valutatore esterno avevano già esaminato la GCC High, secondo quanto riportato nei verbali della riunione. FedRAMP "dovrebbe semplicemente accettare" le loro conclusioni, ha aggiunto.

Poi, con grande sorpresa del team FedRAMP, Rogers lo ha appoggiato e ha criticato il lavoro di FedRAMP, secondo quanto riferito da due partecipanti.

Nella sua dichiarazione, Microsoft ha affermato che Rogers sostiene che l'approccio di FedRAMP "è stato fuorviante e ha ignorato impropriamente le approfondite valutazioni effettuate dal personale del Dipartimento di Giustizia".

Bergin non ha contestato la versione dei fatti, dichiarando a ProPublica di aver cercato di sostenere che la valutazione della sicurezza dei prodotti cloud spetta a società di valutazione esterne come Kratos, e non a FedRAMP. E poiché FedRAMP deve approvare le società di valutazione esterne , il programma avrebbe dovuto rivolgersi direttamente a Kratos per sollevare la questione.

"Quando sei l'ente regolatore che decide chi sono i revisori dei conti e ti rifiuti di accettare le risposte dei tuoi revisori, non è un problema mio", ha detto Bergin a ProPublica.

La GSA non ha risposto alle domande sull'incontro. Il Dipartimento di Giustizia ha rifiutato di commentare.

Cresce la pressione su FedRAMP

Se c'erano dubbi sul ruolo di FedRAMP, la Casa Bianca ha emesso un memorandum nell'estate del 2024 che ne delineava il punto di vista. FedRAMP, si leggeva nel documento, "deve essere in grado di condurre revisioni rigorose" e di imporre ai fornitori di servizi cloud di "rimediare rapidamente alle vulnerabilità della loro architettura di sicurezza". L'ufficio dovrebbe "valutare e convalidare costantemente le complesse architetture e gli schemi di crittografia dei fornitori di servizi cloud".

A quel punto, però, GCC High si era già diffusa ad altre agenzie federali, e l'autorizzazione del Dipartimento di Giustizia fungeva da segnale che la tecnologia soddisfaceva gli standard federali.

Si è diffuso anche nel settore della difesa, poiché il Pentagono richiedeva che i prodotti cloud utilizzati dai suoi appaltatori rispettassero gli standard FedRAMP. Pur non avendo l'autorizzazione FedRAMP, Microsoft ha commercializzato GCC High come conforme ai requisiti, vendendolo ad aziende come Boeing, che si occupano di ricerca, sviluppo e manutenzione di sistemi d'arma militari.

Ma con l'autorizzazione FedRAMP in sospeso, alcuni appaltatori hanno iniziato a temere che, utilizzando GCC High, non fossero in regola. Ciò avrebbe potuto compromettere i loro contratti, con conseguenti ripercussioni sulle operazioni del Dipartimento della Difesa. Funzionari del Pentagono hanno contattato FedRAMP per chiedere chiarimenti sulla situazione di stallo relativa all'autorizzazione.

Il Dipartimento della Difesa ha preso atto della richiesta, ma non ha risposto alle domande scritte di ProPublica.

Rogers continuava a fare pressioni su FedRAMP affinché "portasse a termine la questione", hanno affermato ex dipendenti della GSA e di FedRAMP. Era "opinione del personale e dei collaboratori che semplicemente non fosse disposta a fare pressione su Microsoft su questo punto" e che il Dipartimento di Giustizia "fosse troppo accondiscendente nei confronti delle affermazioni di Microsoft", ha dichiarato a ProPublica Eric Mill, all'epoca direttore esecutivo per la strategia cloud della GSA .

Autorizzazione nonostante una valutazione "devastante".

Nell'estate del 2024, FedRAMP assunse un nuovo direttore permanente, Pete Waterman , esperto di tecnologia governativa. Circa un mese dopo aver assunto l'incarico, Waterman riavviò la revisione del caso GCC High con un nuovo team, che accantonò il dibattito sui diagrammi di flusso dei dati e tentò invece di esaminare le prove fornite da Microsoft. Ma anche questi revisori giunsero presto alla stessa conclusione, con il capo del team che si lamentò di essere stato "ostacolato" da Microsoft.

«Tornò e disse: "Sì, questa cosa fa schifo"», ha ricordato Mill.

Sebbene il team sia riuscito ad analizzare solo due dei numerosi servizi inclusi in GCC High, ovvero Exchange Online e Teams, ciò è stato sufficiente per identificare "problemi fondamentali" per la gestione del rischio, tra cui "la tempestiva risoluzione delle vulnerabilità e la scansione delle vulnerabilità", secondo una sintesi dei risultati del team esaminata da ProPublica.

Tali problematiche, unitamente alla mancanza di una "documentazione di sicurezza adeguata e dettagliata" da parte di Microsoft, limitano "la visibilità e la comprensione del sistema" e "compromettono la capacità di prendere decisioni informate in materia di rischio".

Il team ha concluso: "Vi è una mancanza di fiducia nella valutazione del livello di sicurezza complessivo del sistema".

Un portavoce di Microsoft ha dichiarato in un comunicato che l'azienda "non ha mai ricevuto questo tipo di feedback in nessuna delle sue comunicazioni con FedRAMP".

Quando ProPublica ha letto i risultati a Bergin, il referente di Microsoft, questi si è detto sorpreso.

"È una cosa piuttosto grave", ha detto Bergin, aggiungendo che sembrava un linguaggio che "in genere sarebbe stato associato a un giudizio di 'non meritevole'. Se un valutatore avesse scritto una cosa del genere, sarei preoccupato".

Nonostante i risultati, per il team FedRAMP, rifiutare la richiesta di Microsoft non sembrava un'opzione. "Non rilasciare un'autorizzazione avrebbe un impatto su diverse agenzie che già utilizzano GCC-H", si legge nel documento riassuntivo. Il team ha quindi stabilito che fosse "più conveniente" rilasciare un'autorizzazione con condizioni per la continua supervisione governativa.

Sebbene le autorizzazioni con condizioni di supervisione non fossero insolite, giungere a una in queste circostanze lo era. I revisori di GCC High hanno riscontrato problemi ovunque, sia in ciò che sono stati in grado di valutare sia in ciò che non lo sono stati. Per loro, la maggior parte del pacchetto rimaneva una vasta area inesplorata ricca di rischi incalcolabili.

Ciononostante, FedRAMP e Microsoft raggiunsero un accordo e, il giorno dopo Natale del 2024, GCC High ricevette l'autorizzazione FedRAMP. Secondo fonti a conoscenza del documento, FedRAMP allegò alla documentazione un rapporto di accompagnamento che ne evidenziava le carenze e segnalava i rischi sconosciuti che comportava.

Ha sottolineato che le agenzie dovrebbero esaminare attentamente il pacchetto e contattare direttamente Microsoft per qualsiasi domanda.

Le “incognite sconosciute” persistono

Microsoft ha dichiarato a ProPublica di aver rispettato le condizioni dell'accordo e di essere rimasta "entro i parametri di prestazione richiesti da FedRAMP" per garantire che "i rischi vengano identificati, monitorati, risolti e comunicati in modo trasparente".

Ma sotto l'amministrazione Trump, non sono rimaste molte persone alla FedRAMP per effettuare i controlli.

Sebbene le linee guida dell'era Biden affermassero che FedRAMP "deve essere un programma di esperti in grado di analizzare e convalidare le affermazioni di sicurezza" dei fornitori di servizi cloud, la GSA ha dichiarato a ProPublica che il ruolo del programma "non è quello di determinare se un servizio cloud sia sufficientemente sicuro". Piuttosto, è quello di "garantire che le agenzie dispongano di informazioni sufficienti per prendere queste decisioni in materia di rischio".

Il problema è che spesso le agenzie non dispongono del personale e delle risorse necessarie per effettuare verifiche approfondite, il che significa che l'intero sistema si basa sulle affermazioni delle aziende di cloud computing e sulle valutazioni delle società terze che queste pagano per valutarle. Secondo i critici, con l'attuale impostazione, FedRAMP ha perso la sua efficacia.

"Il compito di FedRAMP è quello di proteggere i cittadini americani quando si tratta di condividere i loro dati con le aziende di cloud computing", ha affermato Mill, ex funzionario della GSA e coautore del memorandum della Casa Bianca del 2024. "Quando si verifica un problema di sicurezza, il pubblico non si aspetta che FedRAMP si limiti a dire di essere un mero burocratore".

Quando si presenta un problema di sicurezza, il pubblico non si aspetta che FedRAMP affermi di essere solo un burocrate.

Eric Mill, ex direttore esecutivo della GSA per la strategia cloud.

Quando si presenta un problema di sicurezza, il pubblico non si aspetta che FedRAMP affermi di essere solo un burocrate.

Eric Mill, ex direttore esecutivo della GSA per la strategia cloud.

Quando si presenta un problema di sicurezza, il pubblico non si aspetta che FedRAMP affermi di essere solo un burocrate.

Nel frattempo, al Dipartimento di Giustizia, i funzionari stanno cercando di capire cosa intendesse FedRAMP con "incognite sconosciute" nel programma GCC High. L'anno scorso, ad esempio, hanno scoperto che Microsoft si affidava a ingegneri con sede in Cina per la manutenzione dei suoi sistemi cloud sensibili, nonostante il divieto del dipartimento di impiegare cittadini non statunitensi nella manutenzione informatica.

Secondo quanto riferito da un dipendente del Dipartimento di Giustizia che ha parlato con noi, i funzionari sono venuti a conoscenza di questo accordo, utilizzato anche presso la GCC High, non tramite il programma FedRAMP o Microsoft, bensì grazie a un'inchiesta di ProPublica sulla pratica .

Un portavoce di Microsoft ha riconosciuto che il piano di sicurezza scritto per GCC High, presentato dall'azienda al Dipartimento di Giustizia, non menzionava ingegneri stranieri, pur affermando che Microsoft aveva comunicato tale informazione ai funzionari del Dipartimento di Giustizia prima del 2020. Ciononostante, Microsoft ha successivamente interrotto l'utilizzo di ingegneri con sede in Cina nei sistemi governativi.

Ex e attuali funzionari governativi sono preoccupati per gli altri rischi che potrebbero nascondersi nella GCC High e altrove.

La GSA ha dichiarato a ProPublica che, in generale, "se vi sono prove credibili che un fornitore di servizi cloud abbia fatto dichiarazioni materialmente false, la questione viene opportunamente deferita alle autorità investigative".

Ironicamente, l'arbitro ultimo per stabilire se i fornitori di servizi cloud o i loro valutatori esterni stiano mantenendo le promesse fatte è il Dipartimento di Giustizia stesso. La recente incriminazione dell'ex dipendente di Accenture suggerisce che il Dipartimento sia disposto a usare questo potere. In un documento depositato in tribunale, il Dipartimento di Giustizia afferma che l'ex dipendente ha fatto "dichiarazioni false e fuorvianti" sulla sicurezza della piattaforma cloud per aiutare l'azienda a "ottenere e mantenere lucrosi contratti federali". È anche accusata di aver tentato di "influenzare e ostacolare" i valutatori esterni di Accenture nascondendo le carenze del prodotto e dicendo ad altri di celare il "vero stato del sistema" durante le dimostrazioni, ha affermato il Dipartimento. Si è dichiarata non colpevole.

Non vi è alcuna indicazione pubblica che sia stata intentata una causa contro Microsoft o chiunque altro coinvolto nell'autorizzazione GCC High. Il Dipartimento di Giustizia ha rifiutato di commentare. Monaco, il vice procuratore generale che ha avviato l'iniziativa del dipartimento per perseguire i casi di frode informatica, non ha risposto alle richieste di commento.

Ha lasciato il suo incarico governativo nel gennaio 2025. Microsoft l'ha assunta come presidente per gli affari globali.

Un portavoce dell'azienda ha dichiarato che l'assunzione di Monaco è avvenuta nel rispetto di "tutte le norme, i regolamenti e gli standard etici" e che la donna "non lavora su alcun contratto con il governo federale né ha alcuna supervisione o coinvolgimento in alcuno dei nostri rapporti con il governo federale".

Contenuti correlati

Commenti (0)