Una nuova inchiesta mette sotto pressione Microsoft, e, allo stesso tempo, anche il sistema FedRAMP, cioè il programma federale usato negli Stati Uniti per valutare e autorizzare i servizi cloud destinati alla pubblica amministrazione. Al centro del caso c’è GCC High. Una piattaforma Microsoft usata da enti governativi e settore difesa per dati ad alta sensibilità. Secondo il report sarebbe stata autorizzata nonostante dubbi interni molto seri sulla sua sicurezza.

Il punto più pesante dell’inchiesta è questo. I revisori FedRAMP, a fine 2024, avrebbero ritenuto di avere poco margine per bloccare l’autorizzazione. Non perché tutte le verifiche fossero concluse in modo soddisfacente, ma soprattutto perché il prodotto era già ampiamente diffuso in varie strutture federali. In altre parole, l’adozione del servizio avrebbe finito per precedere e in parte condizionare il processo di controllo.

Microsoft cloud FedRAMP: cosa contesta l’inchiesta

Secondo il report, il nodo tecnico più delicato riguarda anni di richieste, da parte dei revisori governativi, su documentazione ed evidenze relative alla cifratura e ad altri aspetti di sicurezza che Microsoft non avrebbe fornito in modo completo. L’inchiesta parla di memorie interne, log, email e verbali che descrivono dei breakdown in più punti del processo FedRAMP, oltre a una notevole deferenza verso Microsoft mentre il prodotto avanzava nell’iter autorizzato.

La cosa pesa ancora di più perché GCC High viene usato per informazioni che il governo statunitense classifica come ad alto impatto. Cioè dati la cui eventuale esposizione potrebbe causare effetti gravi o addirittura catastrofici su operazioni, asset e persone. Proprio per questo l’inchiesta non colpisce solo Microsoft, ma anche la credibilità del meccanismo di certificazione che dovrebbe fare da barriera preventiva.

Il caso GCC High riapre il tema della fiducia in FedRAMP

L’articolo cita anche Tony Sager, ex informatico della NSA e oggi dirigente del Center for Internet Security, che usa parole molto dure. Secondo lui, questa vicenda incrina l’idea che il percorso FedRAMP equivalga automaticamente a sicurezza reale. È un passaggio forte, perché tocca un tema che nel cloud pubblico conta tantissimo: la differenza tra conformità formale e protezione concreta.

Il paradosso emerso dal report è proprio questo: un programma nato per ridurre il rischio nel cloud federale avrebbe finito, almeno in questo caso, per autorizzare un servizio su cui restavano riserve importanti. E se davvero l’adozione del prodotto ha pesato più della chiusura completa dei dubbi tecnici, il problema non è solo di un vendor, ma dell’intero modello di governance. Questa è un’inferenza basata sui fatti descritti nell’inchiesta.

Microsoft arriva da mesi già complicati sul fronte governativo

La storia si inserisce in un contesto già teso. Il blog aveva già pubblicato nel 2025 un’altra inchiesta molto discussa sull’uso, da parte di Microsoft, di ingegneri basati in Cina per attività di supporto ai sistemi del Dipartimento della Difesa, con dubbi sulla qualità della supervisione da parte del personale statunitense incaricato di fare da tramite digitale. Quella vicenda aveva già sollevato timori importanti sulla sicurezza dei sistemi governativi gestiti dal colosso di Redmond.

In parallelo, il tema arriva mentre il Dipartimento di Giustizia sta aumentando l’attenzione sui contractor tecnologici e sulla correttezza delle dichiarazioni legate alla conformità FedRAMP. Il report ricorda infatti anche il caso dell’ex dipendente Accenture incriminata a dicembre, in una vicenda separata ma indicativa del clima molto più severo che si sta creando attorno ai servizi cloud per il governo.

Cosa cambia adesso per Microsoft cloud FedRAMP

Per ora l’inchiesta non equivale a una revoca pubblica dell’autorizzazione di GCC High, ma il danno sulla reputazione è pesante. La questione vera è che viene messo in discussione un presupposto che per anni è stato quasi automatico. Se un servizio è passato da FedRAMP, allora è sicuro. Dopo questo report, quella scorciatoia appare molto meno solida.

Nel concreto, la vicenda potrebbe spingere verso controlli più rigidi, maggiore tracciabilità documentale e forse anche una revisione del modo in cui i prodotti cloud vengono adottati dagli enti pubblici mentre l’iter di valutazione è ancora aperto.

Il punto vero della storia

Questa non è solo una notizia su Microsoft: è una notizia sul rapporto fra grandi vendor, apparati pubblici e meccanismi di certificazione che dovrebbero proteggere infrastrutture molto sensibili. Se il sistema autorizza un prodotto pur in presenza di forti incertezze, allora il tema non è solo tecnico: è istituzionale.

Ed è proprio qui che il report colpisce più duro. Non perché dimostri da solo una compromissione attuale dei sistemi. Ma perché suggerisce che, almeno in un caso cruciale, il processo pensato per garantire sicurezza abbia funzionato più come copertura procedurale che come filtro reale. Una conclusione pesante, che adesso sarà difficile ignorare a Washington.