L'utilizzo da parte di Microsoft del supporto tecnico cinese suscita timori circa l'esposizione dei dati del governo statunitense.

TL;DR Sintesi esecutiva

Al centro del controverso accordo di Microsoft c'è un sistema progettato come compromesso tra requisiti di sicurezza ed efficienza aziendale. Da quasi dieci anni, il gigante tecnologico utilizza quelli che definisce "accompagnatori digitali", cittadini statunitensi con autorizzazioni di sicurezza che fungono da intermediari tra ingegneri stranieri e sistemi governativi sensibili.

Il sistema funziona grazie a ingegneri cinesi che forniscono istruzioni tecniche a queste guide americane, le quali poi eseguono comandi sulle reti federali senza necessariamente comprendere appieno le implicazioni di ciò che stanno facendo. Questi lavoratori, noti come "guide digitali", spesso non dispongono delle competenze tecniche necessarie per controllare ingegneri stranieri con abilità molto più avanzate, come ha scoperto ProPublica. Alcuni sono ex militari con poca esperienza di programmazione, pagati poco più del salario minimo per il lavoro svolto.

L'accordo è stato concepito all'inizio degli anni 2010, quando Microsoft cercava di aggiudicarsi lucrosi contratti federali nel settore del cloud computing, mantenendo al contempo la propria struttura lavorativa globale. Microsoft ha sviluppato l'accordo di accompagnamento per soddisfare i funzionari del Dipartimento della Difesa che erano preoccupati per i dipendenti stranieri dell'azienda, dati i requisiti di cittadinanza richiesti dal dipartimento per le persone che gestiscono dati sensibili.

Indy Crowley, un senior program manager di Microsoft soprannominato "FedRAMP whisperer" per la sua familiarità con le normative governative, ha svolto un ruolo chiave nello sviluppo del concetto. Ha dichiarato a ProPublica che l'assunzione di accompagnatori virtuali è emersa come "la strada più facile" quando i funzionari del Dipartimento della Difesa hanno sollevato preoccupazioni riguardo alla possibilità che la forza lavoro globale di Microsoft potesse gestire dati sensibili.

Mentre i primi rapporti si concentravano sull'uso da parte di Microsoft del supporto cinese per i sistemi del Dipartimento della Difesa, indagini successive hanno rivelato che tale pratica va ben oltre le applicazioni militari. L'azienda ha utilizzato la propria forza lavoro globale, compreso il personale con sede in Cina, per mantenere i sistemi cloud di diversi dipartimenti e agenzie federali.

Per anni, Microsoft ha anche utilizzato la sua forza lavoro globale, compreso il personale con sede in Cina, per mantenere i sistemi cloud di altri dipartimenti federali, tra cui parti del Dipartimento di Giustizia, del Tesoro e del Commercio, secondo quanto scoperto da ProPublica.

Il lavoro è stato svolto nell'ambito del cosiddetto Government Community Cloud (GCC), una piattaforma progettata per le informazioni che non sono classificate ma che sono comunque sensibili. Secondo gli standard governativi, ciò include i dati per i quali "la perdita di riservatezza, integrità e disponibilità comporterebbe gravi effetti negativi sulle operazioni, sui beni o sulle persone di un'agenzia".

Esempi specifici di utilizzo del GCC includono:

• La Divisione Antitrust del Dipartimento di Giustizia utilizza la piattaforma per funzioni di indagine e contenzioso penale e civile.
• Parti dell'Agenzia per la protezione dell'ambiente che utilizzano i servizi GCC
• Il Dipartimento dell'Istruzione che gestisce i sistemi sulla piattaforma

Questo più ampio accesso da parte di soggetti stranieri ha allarmato gli esperti di sicurezza informatica, i quali avvertono che anche i dati governativi non classificati possono fornire informazioni preziose agli avversari stranieri.

Uno degli aspetti più preoccupanti del sistema di assistenza digitale è la notevole disparità di competenze tecniche tra gli assistenti americani e gli ingegneri cinesi che dovrebbero supervisionare. Questo divario di competenze crea una vulnerabilità fondamentale che, secondo gli esperti, compromette l'intera premessa di sicurezza dell'accordo.

"Confidiamo che ciò che stanno facendo non sia malintenzionato, ma non possiamo davvero dirlo con certezza", ha affermato una escort attualmente in attività che ha accettato di parlare a condizione di rimanere anonima, temendo ripercussioni professionali.

Il problema è strutturale e intenzionale. Microsoft ha ammesso che gli escort hanno principalmente il compito di garantire il rispetto delle procedure di trattamento dei dati piuttosto che fornire supervisione tecnica. Matthew Erickson, un ex ingegnere Microsoft che ha lavorato al sistema di escort, ha spiegato che "se qualcuno eseguiva uno script chiamato 'fix_servers.sh' ma in realtà faceva qualcosa di dannoso, allora [gli escort] non ne avrebbero avuto idea".

Il reclutamento di accompagnatori riflette queste aspettative limitate. Nel gennaio 2025, un appaltatore Microsoft ha pubblicato un annuncio in cui cercava un accompagnatore per 18 dollari l'ora, con il requisito principale di possedere un nulla osta di sicurezza del Dipartimento della Difesa piuttosto che competenze tecniche.

"Le persone ottengono questi lavori perché hanno superato i controlli di sicurezza, non perché sono bravi ingegneri", ha affermato la scorta che ha accettato di parlare in forma anonima e che lavora per Insight Global.

Questo accordo implica che ogni mese il team di assistenza di Microsoft gestisce centinaia di interazioni con ingegneri e sviluppatori con sede in Cina, fungendo essenzialmente da canale per le istruzioni tecniche straniere nelle reti federali senza una significativa capacità di supervisione.

Le vulnerabilità insite nell'approccio di Microsoft sono diventate evidenti nel luglio 2025, quando hacker sponsorizzati dallo Stato cinese hanno sfruttato le vulnerabilità di SharePoint, il software di collaborazione ampiamente utilizzato da Microsoft. L'attacco ha compromesso centinaia di aziende e agenzie governative, tra cui la National Nuclear Security Administration (NNSA) e il Department of Homeland Security (DHS).

Ciò che ha reso questo incidente particolarmente preoccupante è stata la successiva scoperta da parte di ProPublica che l'assistenza per SharePoint è gestita da un team di ingegneri con sede in Cina che si occupa della manutenzione del software da anni.

La cronologia dell'attacco a SharePoint rivela la complessità delle sfide in materia di sicurezza:

• Gli hacker cinesi hanno iniziato a sfruttare le vulnerabilità di SharePoint già dal 7 luglio 2025.
• Microsoft ha rilasciato una patch l'8 luglio, ma gli hacker l'hanno aggirata.
• L'azienda ha successivamente rilasciato una nuova patch con "protezioni più robuste".
• Le vulnerabilità hanno consentito agli hacker di "accedere completamente ai contenuti di SharePoint, inclusi i file system e le configurazioni interne, ed eseguire codice sulla rete".

Sebbene non vi siano prove che il team SharePoint di Microsoft con sede in Cina abbia avuto un ruolo nell'attacco, la coincidenza ha messo in evidenza i potenziali rischi legati al fatto che il personale cinese si occupasse della manutenzione di un software che era contemporaneamente oggetto di attacchi da parte di avversari americani.

Gli esperti di sicurezza nazionale e sicurezza informatica hanno espresso allarme per queste rivelazioni, e molti si sono detti sorpresi che esistessero accordi di questo tipo. Harry Coker, ex dirigente della CIA e della National Security Agency che ha anche ricoperto il ruolo di direttore nazionale per la sicurezza informatica durante l'amministrazione Biden, ha dichiarato a ProPublica che il sistema di scorta digitale rappresenta un'ovvia opportunità per lo spionaggio.

"Se fossi un agente operativo, lo considererei un canale di accesso estremamente prezioso. Dobbiamo prestare molta attenzione a questo aspetto", ha affermato Harry Coker, ex dirigente della CIA e della National Security Agency.

Le preoccupazioni sono fondate sia sulle realtà tecniche dell'accordo sia sul quadro giuridico che disciplina la raccolta dei dati in Cina. Jeremy Daum, ricercatore senior presso il Paul Tsai China Center della Yale Law School, ha spiegato che le leggi cinesi consentono ai funzionari governativi di raccogliere dati "purché stiano facendo qualcosa che ritengono legittimo". Ha osservato che sarebbe "difficile per qualsiasi cittadino o azienda cinese opporsi in modo significativo a una richiesta diretta delle forze di sicurezza o delle forze dell'ordine".

Rex Booth, ex funzionario federale per la sicurezza informatica che ora ricopre il ruolo di responsabile della sicurezza informatica presso SailPoint, ha sottolineato che i rischi vanno oltre le tradizionali preoccupazioni relative alle informazioni classificate:

"Con così tanti dati archiviati nei servizi cloud e la potenza dell'intelligenza artificiale in grado di analizzarli rapidamente, anche i dati non classificati possono rivelare informazioni che potrebbero danneggiare gli interessi degli Stati Uniti".

Harry Coker, ex dirigente della CIA e della NSA

Le rivelazioni hanno suscitato rapide reazioni sia da parte del Congresso che dell'esecutivo. Il segretario alla Difesa Pete Hegseth ha avviato un'immediata revisione delle pratiche, dichiarando sui social media che

"Gli ingegneri stranieri, provenienti da qualsiasi paese, compresa ovviamente la Cina, non dovrebbero MAI essere autorizzati a mantenere o accedere ai sistemi del Dipartimento della Difesa".

È emersa una preoccupazione bipartisan da parte del Congresso, con i senatori Tom Cotton (R-Arkansas) e Jeanne Shaheen (D-New Hampshire) che hanno scritto lettere al segretario Hegseth chiedendo maggiori informazioni sugli accordi di assistenza di Microsoft con sede in Cina. L'interesse del Congresso riflette la crescente consapevolezza della Cina come minaccia informatica e le più ampie preoccupazioni relative alla dipendenza tecnologica dalle nazioni straniere.

John Sherman, che ha ricoperto il ruolo di responsabile delle informazioni per il Dipartimento della Difesa durante l'amministrazione Biden, ha espresso sorpresa per i risultati e ha chiesto una "revisione approfondita da parte della DISA, del Cyber Command e delle altre parti interessate coinvolte nella questione".

Il segretario alla Difesa Pete Hegseth afferma che non ci sarà alcun supporto tecnico straniero al Dipartimento della Difesa

Di fronte alla rivelazione pubblica delle sue pratiche, Microsoft ha agito rapidamente per affrontare le preoccupazioni immediate, difendendo al contempo il proprio approccio generale. L'azienda ha annunciato che non avrebbe più utilizzato team di ingegneri con sede in Cina per supportare i sistemi di cloud computing del Dipartimento della Difesa e ha suggerito che cambiamenti simili potrebbero essere introdotti anche per altri clienti governativi.

In una dichiarazione, Microsoft ha affermato: "La scorsa settimana Microsoft ha adottato misure volte a migliorare la sicurezza dei nostri servizi cloud per il Dipartimento della Difesa. In futuro, adotteremo misure simili per tutti i nostri clienti governativi che utilizzano il Government Community Cloud (GCC) al fine di garantire ulteriormente la sicurezza dei loro dati".

Tuttavia, la risposta dell'azienda ha sollevato tante domande quante risposte ha fornito. Microsoft ha rifiutato di specificare cosa avrebbe sostituito i suoi team di assistenza cinesi, se avrebbe continuato a utilizzare gli accompagnatori digitali o se l'assistenza sarebbe stata fornita da ingegneri con sede in altri paesi stranieri. L'azienda ha anche affermato che avrebbe "condotto una revisione per valutare se fossero necessarie misure aggiuntive" nel corso del mese successivo.

Robert E. LaMear IV, fondatore di US Cloud, ha offerto questa soluzione. US Cloud è il principale fornitore di assistenza di terze parti per il software aziendale Microsoft.

"Microsoft dovrebbe sostituire i propri team di assistenza cinesi con US Cloud. Saremmo disposti a lavorare con impegno per soddisfare i requisiti di autorizzazione delle agenzie: siamo stati creati appositamente per soddisfare i requisiti federali in materia di sovranità dei dati e cittadinanza. Oppure le agenzie possono stipulare un contratto direttamente con noi".

Per quanto riguarda specificatamente il team SharePoint, Microsoft ha riconosciuto l'esistenza del team di ingegneri con sede in Cina, ma ha sottolineato che esso "è supervisionato da un ingegnere con sede negli Stati Uniti ed è soggetto a tutti i requisiti di sicurezza e alla revisione del codice da parte dei manager. Sono già in corso lavori per trasferire questa attività in un'altra sede".

Le rivelazioni sulle escort digitali rientrano in un quadro più ampio di problemi di sicurezza di Microsoft che hanno preoccupato funzionari governativi ed esperti di sicurezza informatica. ProPublica ha osservato che Microsoft ha "ripetutamente dato priorità al profitto aziendale rispetto alla sicurezza dei clienti", compreso un precedente incidente in cui l'azienda ha ignorato gli avvertimenti degli ingegneri su un difetto del prodotto che gli hacker sponsorizzati dallo Stato russo hanno successivamente sfruttato in uno dei più grandi attacchi informatici della storia.

Come presagio dell'esternalizzazione del supporto Microsoft Gov alla Cina, un anno prima il responsabile del programma di acquisizione del Dipartimento della Difesa, Prescott Paulin, aveva pubblicato questo video su LinkedIn nel 2024, in cui mostrava come Microsoft lo avesse indirizzato a un call center cinese quando aveva avuto problemi ad accedere ai suoi "account relativi alla difesa dopo l'orario di lavoro". ID di tracciamento dell'assistenza incidenti Microsoft: 2407040040000430.

Il sistema di accompagnamento è nato in un periodo in cui Microsoft stava cercando di ottenere contratti federali per il cloud, e i colleghi chiamavano uno degli architetti chiave "FedRAMP whisperer" per la sua abilità nel districarsi tra i requisiti di sicurezza del governo. Questo accordo ha permesso a Microsoft di mantenere una struttura lavorativa globale conveniente, rispettando al contempo i requisiti di sicurezza federali.

Prescott Paulin, responsabile del programma di acquisizione del Dipartimento della Difesa, 2024 Assistenza Microsoft esternalizzata alla Cina Video

L'indagine di ProPublica ha rivelato che fin dall'inizio Microsoft e i suoi appaltatori nutrivano preoccupazioni riguardo al sistema di escort digitale. Diverse persone coinvolte nel progetto, tra cui un responsabile della sicurezza informatica di Microsoft, avevano avvertito l'azienda che l'accordo era intrinsecamente rischioso, ma Microsoft "lo ha comunque lanciato e ampliato".

Un caso particolarmente degno di nota ha coinvolto Tom Schiller, un ex collaboratore di Insight Global che nel 2024 ha contattato una hotline del Dipartimento della Difesa e ha scritto a diversi legislatori federali per mettere in guardia sul fenomeno del digital escorting. Le sue denunce sono state infine trasmesse all'Ufficio dell'Ispettore Generale della Defense Information Systems Agency, che ha condotto alcune interviste ma alla fine ha rinviato la questione alla direzione della DISA invece di avviare un'indagine.

Anche gli attuali accompagnatori hanno sollevato preoccupazioni. Un dipendente di Insight Global ha dichiarato a ProPublica di aver "ripetutamente sollevato preoccupazioni in merito al divario di conoscenze a Microsoft, nel corso di diversi anni e recentemente anche ad aprile, nonché agli avvocati di Insight Global". L'accompagnatore ha affermato di essere particolarmente preoccupato per le leggi cinesi che concedono ampi poteri in materia di raccolta dati e per l'esposizione che ciò comporta per le reti del governo degli Stati Uniti.

Le rivelazioni di Microsoft hanno implicazioni più ampie sul modo in cui il governo federale affronta il cloud computing e la modernizzazione IT. L'incidente evidenzia le tensioni fondamentali tra efficienza dei costi, competenza tecnica e requisiti di sicurezza che hanno plasmato l'adozione della tecnologia da parte del governo nell'ultimo decennio.

L'adozione del cloud computing da parte del governo federale è stata determinata in gran parte dalla promessa di risparmi sui costi, maggiore efficienza e accesso a tecnologie all'avanguardia. Tuttavia, il caso Microsoft dimostra come questi vantaggi possano comportare costi nascosti in termini di sicurezza che non sono immediatamente evidenti agli acquirenti governativi o alle agenzie di controllo.

La situazione solleva anche interrogativi sull'adeguatezza degli attuali meccanismi di controllo governativi. Nonostante il sistema di scorta sia in vigore da quasi un decennio, sembra che nemmeno gli alti funzionari del Dipartimento della Difesa fossero a conoscenza della sua esistenza. Ciò suggerisce significative lacune nel modo in cui le agenzie governative comprendono e monitorano le pratiche dei loro fornitori di tecnologia.

Mentre il governo cerca di affrontare le implicazioni delle rivelazioni sul supporto di Microsoft, rimangono aperte questioni fondamentali su come bilanciare i requisiti di sicurezza con le realtà pratiche dell'operare in un mercato tecnologico globale. Il sistema di accompagnamento digitale ha rappresentato un tentativo di risolvere questo dilemma, ma il suo evidente fallimento suggerisce che potrebbero essere necessari approcci più solidi.

L'incidente potrebbe accelerare gli sforzi più ampi del governo volti a ridurre la dipendenza dal personale straniero per le funzioni tecnologiche critiche, ma questa transizione comporterà probabilmente costi significativi e sfide tecniche. Sviluppare una capacità tecnica interna sufficiente per gestire i complessi requisiti IT del governo rappresenta un'impresa importante che richiederà investimenti costanti e attenzione politica.

Il caso Microsoft evidenzia anche l'importanza della trasparenza nei contratti tecnologici governativi. Il fatto che un accordo di sicurezza così significativo sia rimasto in vigore per quasi un decennio senza che l'opinione pubblica ne fosse a conoscenza suggerisce che gli attuali requisiti di divulgazione potrebbero essere inadeguati alla complessa realtà dei moderni servizi tecnologici.

L'utilizzo da parte di Microsoft di ingegneri cinesi per supportare i sistemi del governo statunitense rappresenta un caso di studio sulle conseguenze indesiderate della priorità data all'efficienza rispetto alla sicurezza nelle infrastrutture tecnologiche critiche. Sebbene il sistema di scorta digitale dell'azienda possa aver soddisfatto alla lettera i requisiti di sicurezza federali, sembra averne violato lo spirito creando vulnerabilità che avversari sofisticati potrebbero potenzialmente sfruttare.

La rapida risposta da parte di Microsoft, del Congresso e del potere esecutivo suggerisce il riconoscimento che l'attuale accordo è insostenibile, date le mutevoli realtà geopolitiche e le minacce informatiche. Tuttavia, la sfida di sostituire questi sistemi mantenendo le capacità informatiche del governo richiederà un'attenta pianificazione e risorse significative.

Mentre gli Stati Uniti continuano a competere con la Cina in termini di tecnologia e capacità informatiche, le rivelazioni sul supporto di Microsoft servono a ricordare chiaramente che la sicurezza non può essere considerata un aspetto secondario nella progettazione di sistemi critici. Il costo di una sicurezza informatica inadeguata, misurato in termini di dati compromessi, danni alla sicurezza nazionale o perdita di fiducia da parte dell'opinione pubblica, supera di gran lunga i risparmi a breve termine che potrebbero derivare da una riduzione dei requisiti di sicurezza della catena di approvvigionamento.

La risoluzione definitiva di questa situazione probabilmente costituirà un importante precedente per il modo in cui il governo affronta la questione della supervisione dei fornitori di tecnologia e dei requisiti di sicurezza in un mercato globale sempre più complesso. La posta in gioco non potrebbe essere più alta, poiché l'integrità dell'infrastruttura digitale americana dipende dalla correttezza di queste decisioni.