Lunedi 06 Luglio 2026 22:24:07 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cloud, SaaS & Identity Security

Nubi di dubbio: come la sicurezza “raffazzonata” di Microsoft ha ottenuto il via libera federale

Pubblicato: 19 Marzo 2026 01:09Categoria: Cloud, SaaS & Identity SecurityArea: North AmericaAutore: SECPULSE

Sottotitolo: I cani da guardia federali della cybersicurezza hanno lanciato l’allarme sulla sicurezza cloud di Microsoft-poi l’hanno approvata lo stesso, mettendo a nudo gravi falle nella vigilanza governativa.

Quando esperti federali di cybersicurezza hanno definito la piattaforma cloud di Microsoft una “montagna di merda”, non stavano solo sfogando frustrazione: stavano documentando una crisi. Eppure, nonostante avvertimenti brutali e prove di importanti punti ciechi nella sicurezza, le agenzie governative hanno lasciato passare il cloud del colosso tecnologico per usi federali sensibili. Com’è possibile che una delle aziende più grandi del mondo abbia ottenuto l’approvazione per un sistema pieno di rischi, e cosa dice questo delle difese digitali americane?

In teoria, il Federal Risk and Authorization Management Program (FedRAMP) è il guardiano digitale dei servizi cloud federali. Il suo compito: vagliare le piattaforme dei giganti tecnologici per assicurarsi che proteggano i dati più sensibili della nazione. In realtà, dicono gli addetti ai lavori, FedRAMP è spesso un “passacarte”, frenato da personale e risorse limitati. Invece di audit rigorosi, il sistema si appoggia pesantemente alle affermazioni delle stesse aziende cloud-e alle valutazioni di valutatori terzi che le aziende pagano.

Le crepe in questo sistema sono diventate lampanti al Dipartimento di Giustizia, dove i funzionari hanno scoperto che Microsoft aveva consentito a ingegneri basati in Cina di intervenire su sistemi cloud governativi-anche se la politica federale vieta ai non cittadini statunitensi di ricoprire ruoli del genere. In modo sconcertante, né Microsoft né FedRAMP hanno segnalato questo assetto al Dipartimento di Giustizia. La rivelazione è arrivata invece da un’inchiesta di ProPublica.

Microsoft ha ammesso che il suo piano di sicurezza ufficiale presentato al governo non menzionava ingegneri stranieri, anche se sostiene di aver informato i funzionari in modo informale prima del 2020. Da allora l’azienda ha interrotto la pratica, ma l’episodio ha lasciato funzionari attuali ed ex profondamente inquieti su quali altri rischi possano annidarsi in sistemi ritenuti sicuri.

Nel frattempo, la responsabilità resta sfuggente. Mentre il Dipartimento di Giustizia ha recentemente incriminato un ex dipendente di Accenture per aver presumibilmente mentito sulla sicurezza cloud per ottenere contratti federali, non c’è stato un caso analogo contro Microsoft o contro chi ha contribuito a dare il via libera al suo servizio cloud “GCC High”. Ironicamente, lo stesso Dipartimento di Giustizia è sia il cane da guardia sia il cliente, confondendo i confini tra applicazione delle regole e approvazione.

La porta girevole tra governo e industria complica ulteriormente le cose. Un alto funzionario del Dipartimento di Giustizia che aveva sostenuto la supervisione della cybersicurezza ha lasciato l’incarico all’inizio del 2025-per poi diventare la nuova presidente degli affari globali di Microsoft. Microsoft insiste che tutte le regole sono state rispettate e che lei non ha voce in capitolo sui contratti federali.

L’episodio mette a nudo una realtà inquietante: quando la vigilanza è debole e i conflitti di interesse abbondano, persino gli avvertimenti più espliciti possono essere ignorati. Mentre le agenzie federali affidano sempre più i loro segreti al cloud, resta la domanda-chi, se qualcuno, sta davvero sorvegliando i sorveglianti?

WIKICROOK

  • FedRAMP: FedRAMP è un programma del governo degli Stati Uniti che impone rigorosi standard di sicurezza per i servizi cloud utilizzati dalle agenzie federali, garantendo protezione dei dati e conformità.
  • GCC High: GCC High è un servizio cloud di Microsoft per il governo statunitense e i contraenti, che assicura la conformità a rigide normative federali su sicurezza e dati.
  • Third: Un “third” indica una parte esterna i cui sistemi si collegano alla tua organizzazione, potenzialmente aumentando i rischi di cybersicurezza attraverso nuovi percorsi di integrazione.
  • Paper: “Paper” in cybersicurezza si riferisce a nastri o schede perforate usati per archiviare o inserire dati nei primi computer, evidenziando metodi storici di sicurezza dei dati.
  • Revolving door: “Revolving door” descrive il passaggio di funzionari tra ruoli governativi e privati nella cybersicurezza, creando potenziali conflitti di interesse e incidendo sull’integrità regolatoria.