Controversie sul cloud Microsoft GCC High al Dipartimento di Giustizia e successivi rimpasti di personale

Al centro del dibattito istituzionale statunitense si trova la controversa adozione, da parte del Dipartimento di Giustizia (DOJ), del servizio cloud Microsoft Government Community Cloud (GCC), specificamente nella sua configurazione di alto livello denominata High. Questa transizione tecnologica, avviata ufficialmente all'inizio del 2020, è stata segnata fin da subito dalle perplessità dei revisori federali. Nonostante le gravi riserve espresse riguardo alla documentazione sulla sicurezza e ai potenziali conflitti di interesse, il progetto è andato avanti, sollevando interrogativi sulla trasparenza dei processi decisionali interni e sulla solidità delle infrastrutture scelte per proteggere dati sensibili.

La tensione è culminata nel 2023, a seguito di una massiccia intrusione informatica orchestrata da hacker cinesi sostenuti dallo Stato, che ha compromesso le comunicazioni e-mail di alti funzionari governativi. Questo incidente ha gettato un'ombra sul processo di autorizzazione di GCC High, un contratto stimato in miliardi di dollari di potenziali entrate per Microsoft. Emergono dettagli su forti pressioni esercitate sui revisori federali: durante un incontro decisivo nel dicembre 2023, John Bergin di Microsoft avrebbe insistito per l'accettazione delle credenziali del sistema, supportato da Melinda Rogers, allora Chief Information Officer (CIO) del DOJ. Eric Mill, ex dirigente della GSA, ha evidenziato come l'atteggiamento della Rogers fosse eccessivamente sbilanciato a favore di Microsoft, alimentando dubbi sul rispetto degli standard etici e dell'imparzialità amministrativa.

I revisori federali hanno ripetutamente segnalato la carenza di informazioni dettagliate fornite da Microsoft in merito alle proprie procedure di sicurezza, citando vulnerabilità di rete e possibili conflitti di interesse legati a società terze incaricate delle valutazioni. Dopo la violazione del 2023, il processo di certificazione è stato quasi interrotto a causa delle minacce dei tecnici di bloccare l'iter. Tuttavia, sebbene alla fine del 2024 i revisori di FedRAMP (Federal Risk and Authorization Management Program) abbiano espresso una netta "mancanza di fiducia" nella valutazione complessiva della sicurezza del sistema, GCC High ha ottenuto l'autorizzazione finale. Tale decisione è stata motivata dal fatto che numerose agenzie federali avevano già integrato la piattaforma nelle proprie operazioni quotidiane, rendendo difficile un passo indietro.

Le carriere dei protagonisti di questa vicenda hanno subito svolte significative nel 2025, sollevando ulteriori questioni deontologiche legate al fenomeno delle porte girevoli. Melinda Rogers, dopo aver lasciato il ruolo di CIO, è diventata partner di Microsoft nella divisione soluzioni cloud aziendali. Parallelamente, Lisa Monaco, ex Vice Procuratore Generale, ha assunto la carica di Presidente per gli affari globali di Microsoft a metà del 2025. Sebbene l'azienda affermi che entrambi i passaggi abbiano rispettato rigorosamente i criteri normativi, la coincidenza temporale rimane oggetto di scrutinio. Nello stesso anno, la scoperta dell'impiego di ingegneri cinesi nei sistemi del Dipartimento della Difesa (DoD) ha spinto il Pentagono a inasprire i requisiti di sicurezza tramite la normativa DFARs 7012, mentre l'ex presidente Trump chiedeva formalmente il licenziamento della Monaco verso la fine del 2025.

Guardando al 2026, la questione rimane di estrema attualità poiché il Dipartimento di Giustizia continua a perseguire una politica rigorosa sulla conformità alla cybersicurezza, avvalendosi anche del False Claims Act per sanzionare le inadempienze. Gli eventi descritti mettono in luce le preoccupazioni persistenti sulla verifica dei grandi fornitori di servizi cloud che gestiscono dati governativi sensibili e il potenziale conflitto di interessi che coinvolge alti funzionari che passano ai fornitori che un tempo regolavano. Va ricordato che, in passato, Microsoft aveva citato in giudizio il DOJ per questioni legate alla privacy dei dati nel cloud, accusando il governo di utilizzare leggi obsolete per indagini segrete. Nonostante le criticità espresse da FedRAMP a fine 2024, l'autorizzazione di GCC High rappresenta un punto di svolta complesso nel rapporto tra sicurezza nazionale e giganti tecnologici.