«Un cumulo di merda.» Non è il verdetto di un attivista, di un blogger arrabbiato o di un concorrente rosicone. Sono le parole esatte — a pile of shit — messe nero su bianco da un revisore federale del programma FedRAMP, il sistema di certificazione cybersicurezza del governo degli Stati Uniti, per descrivere Microsoft GCC High: la piattaforma cloud su cui poggiano agenzie federali, apparati militari e infrastrutture critiche americane. L’inchiesta di ProPublica pubblicata a marzo 2026 ha fatto emergere documenti interni che non lasciano spazio a interpretazioni benevole. Dopo 480 ore di analisi distribuite in quasi cinque anni e 18 sessioni di «deep dive tecnico», i valutatori hanno dichiarato di non avere «fiducia nella valutazione della postura di sicurezza complessiva del sistema». E poi l’hanno approvato lo stesso.
Il nocciolo della questione è brutale nella sua semplicità: stiamo parlando della spina dorsale digitale di governi che gestiscono dati militari, diplomatici, sanitari e giudiziari. Dalla Casa Bianca ai ministeri di Roma, da Bruxelles a Canberra, Microsoft è ovunque — non perché offra il prodotto migliore o più sicuro, ma perché è diventato troppo radicato nel tessuto istituzionale per essere rimosso senza trauma. Il vendor lock-in non è un difetto del sistema: è il sistema stesso. E quando il tuo fornitore viene penetrato con cadenza regolare da intelligence straniere, e l’ente di controllo che dovrebbe proteggerti viene smantellato dal governo in carica, il problema non si risolve con una patch del martedì. La vera domanda non è se Microsoft sia sicuro — spoiler: non lo è, e i suoi stessi valutatori lo mettono a verbale. La domanda è perché governi interi continuano a consegnargli le chiavi di casa, e chi sta provando a riprendersele dal basso.
Quando il controllore diventa complice
I documenti FedRAMP ottenuti da ProPublica raccontano una vicenda che oscilla tra il kafkiano e il grottesco. I revisori hanno identificato «problemi fondamentali» nella gestione del rischio di Microsoft GCC High, inclusa «la tempestiva riparazione delle vulnerabilità e la scansione delle vulnerabilità» — tradotto dal burocratese: l’azienda non chiudeva le falle con sufficiente velocità e non le cercava con la diligenza minima che ti aspetteresti da chi custodisce i segreti del governo più potente del mondo. Un valutatore ha descritto i percorsi dei dati come «un cumulo di torte di spaghetti», spiegando che far arrivare un’informazione dal punto A al punto B era «come viaggiare da Washington a New York in autobus, traghetto e aereo invece di prendere un treno diretto». FedRAMP ha chiesto ripetutamente a Microsoft diagrammi di flusso che mostrassero dove le informazioni venissero cifrate e decifrate in transito — una richiesta basilare per qualsiasi assessment di sicurezza serio. La risposta? Mesi di silenzio, poi un white paper generico che descriveva la strategia crittografica «in termini generali» omettendo esattamente i dettagli richiesti. Non è un fraintendimento: è il comportamento calcolato di un’azienda che sa di essere intoccabile.
E intoccabile lo è davvero. Il 26 dicembre 2024 — data non casuale, è il giorno in cui nessuno guarda — FedRAMP ha autorizzato Microsoft GCC High. Non perché le criticità fossero risolte, ma perché il prodotto era già deployato nell’intero apparato federale: il Dipartimento di Giustizia lo aveva autorizzato attraverso un percorso alternativo nel 2020, e da lì si era diffuso come un’erbaccia istituzionale che nessuno aveva il coraggio di estirpare. Revocare l’autorizzazione avrebbe significato ammettere che la macchina federale aveva costruito la propria infrastruttura critica su fondamenta giudicate marce dai suoi stessi esperti. Meglio il timbro di gomma e avanti il prossimo. Ma la degradazione non è solo codardia burocratica — ha un mandante politico preciso. Il Department of Government Efficiency (DOGE) dell’amministrazione Trump ha eviscerato FedRAMP: budget rasato a 10 milioni di dollari l’anno, il minimo dell’ultimo decennio, con circa ventiquattro impiegati «interamente concentrati» — sono parole loro — sulla consegna di autorizzazioni a velocità record. Ex funzionari hanno confermato a ProPublica che il programma è ormai «poco più di un timbro di gomma per l’industria». La volpe non solo custodisce il pollaio: lo ha comprato e ne sta svendendo le uova.
Facciamo un passo indietro, perché il disastro non nasce dal nulla. Nell’estate 2023 il gruppo hacker cinese Storm-0558, legato all’intelligence di Pechino, ha violato le caselle email di oltre 500 persone e 22 organizzazioni attraverso Microsoft Exchange Online. Tra le vittime figuravano alti funzionari statunitensi responsabili dei rapporti diplomatici con la Cina, compresa la Segretaria al Commercio Gina Raimondo. Dal solo Dipartimento di Stato sono state esfiltrate circa 60.000 email in sei settimane di accesso indisturbato. Il meccanismo dell’attacco ha del parodistico: gli hacker hanno sfruttato una chiave crittografica inattiva dal 2016 — sette anni senza rotazione — per falsificare token di autenticazione Azure AD. Un errore di validazione permetteva a quella chiave, pensata solo per account consumer, di funzionare anche sugli account governativi. Sette anni senza ruotare una chiave crittografica, in un’azienda da 3.000 miliardi di capitalizzazione che si vende come garante della sicurezza governativa. Un sysadmin qualsiasi verrebbe licenziato in giornata per una leggerezza del genere. Microsoft ha incassato altri contratti miliardari.
Il Cyber Safety Review Board (CSRB) del Dipartimento della Sicurezza Interna ha messo tutto a verbale nel rapporto di aprile 2024: «l’intrusione non sarebbe mai dovuta avvenire», è stata causata da «una cascata di fallimenti nella sicurezza di Microsoft», e la cultura della sicurezza dell’azienda è stata giudicata «inadeguata» — parola che, applicata a chi gestisce l’infrastruttura digitale di mezzo pianeta, dovrebbe far tremare qualche poltrona. Il Board ha raccomandato di deprioritizzare lo sviluppo di nuove funzionalità fino a «miglioramenti sostanziali nella sicurezza». Microsoft ha promesso di implementare tutte le 16 raccomandazioni applicabili. Promesse. Poi il colpo di scena: il CSRB non esiste più, l’amministrazione Trump lo ha smantellato e il rapporto stesso è stato rimosso dai canali ufficiali. L’organo che aveva esposto la negligenza strutturale di Microsoft è stato cancellato — non è una coincidenza, è un favore reso a chi dovrebbe essere controllato. Prima di Storm-0558 c’era stato SolarWinds nel 2020 — hacker russi nelle reti di agenzie federali, inclusa la National Nuclear Security Administration che gestisce l’arsenale atomico. Il pattern si ripete con una prevedibilità che sarebbe comica se non fosse pericolosa: Microsoft viene bucata, lancia un’iniziativa di sicurezza con un nome altisonante (l’ultima si chiama Secure Future Initiative), pubblica report patinati sui progressi, e intanto le vulnerabilità critiche continuano a fioccare — solo nel Patch Tuesday di marzo 2026 ne ha corrette oltre 80, sei considerate ad alto rischio di sfruttamento attivo. Il cane da guardia è stato abbattuto, e il padrone di casa ha le chiavi ma non sa chiudere le porte.
L’Europa in ginocchio: la sottomissione volontaria
Se il quadro americano è desolante, quello europeo ha l’aggravante della volontarietà. I provider extra-UE controllano quasi il 90% del mercato cloud europeo, un business da 112 miliardi di dollari nel 2025. Tre aziende americane — Amazon Web Services, Microsoft Azure, Google Cloud — custodiscono la memoria digitale di un continente intero: cartelle cliniche, segreti industriali, dati giudiziari, comunicazioni diplomatiche. Non è un effetto collaterale della globalizzazione: è una strategia commerciale e geopolitica che trasforma ogni ente pubblico europeo in un cliente captivo con zero potere negoziale. La Commissione Europea parla apertamente di «ridurre la dipendenza da tecnologie non europee» nei documenti strategici — poi i governi firmano il contratto quinquennale successivo con Microsoft e passano al prossimo convegno sulla sovranità digitale. Il paradosso si avvita su se stesso, e nessuno sembra avere la volontà di spezzarlo.
Il caso italiano è la rappresentazione plastica di questa resa intellettuale. Il Polo Strategico Nazionale (PSN), presentato in pompa magna come la risposta sovrana alla dipendenza cloud, utilizza come fondamenta i servizi di Azure, Google Cloud e AWS. Le chiavi di cifratura sono gestite dal PSN — una tutela, sulla carta. Ma il codice sorgente, gli aggiornamenti, le patch, l’architettura e l’intera catena di fornitura restano nelle mani di aziende soggette al Cloud Act statunitense, che consente alle autorità USA di richiedere l’accesso ai dati conservati da provider americani indipendentemente dalla localizzazione fisica dei server. Possono stare a Roma, a Milano o sotto il Vesuvio: se il software è di Microsoft e l’FBI bussa alla porta di Redmond, Redmond apre — non il Garante Privacy italiano. L’accordo quadro Consip per i servizi IaaS e PaaS della PA convoglia le amministrazioni verso soluzioni certificate dall’Agenzia per la Cybersicurezza Nazionale, ma la certificazione formale non modifica la sostanza giuridica: l’infrastruttura è americana, le vulnerabilità sono americane, e quando Microsoft viene penetrata — fatto che accade con inquietante puntualità — a essere esposti sono anche i tuoi dati, quelli della tua ASL, del tuo comune, della tua scuola. L’obiettivo PNRR di portare il 75% delle amministrazioni su servizi cloud entro il 2026 si traduce, nei fatti, nel migrare dati critici verso infrastrutture su cui il paese non esercita alcun controllo sostanziale. Non stiamo parlando di servizi marginali: stiamo parlando di anagrafe, sanità, giustizia, fisco — il cuore dello stato.
L’accordo tra Tim e Microsoft del febbraio 2026 per «accelerare la transizione digitale della PA» è la ciliegina su una torta già avvelenata. Tim ci mette i data center e la rete, Microsoft ci mette il software proprietario e il brand — e il valore, cioè dati, algoritmi e proprietà intellettuale, resta saldamente a Redmond, mentre all’Italia rimangono i capannoni e le bollette della corrente. Detto senza mezzi termini: non è una partnership, è un contratto coloniale con il vestito buono. Nel frattempo, il 37% delle grandi aziende italiane sta valutando percorsi di repatriation — il ritorno di workload critici dal cloud pubblico americano a infrastrutture locali o private. Le aziende, evidentemente, hanno più senso di autoconservazione dello stato. La PA, che dovrebbe dare l’esempio, va nella direzione opposta: accelera le migrazioni verso le stesse piattaforme che il governo americano non riesce nemmeno a certificare come sicure. E Microsoft intanto organizza il Digital Sovereignty Summit ad aprile 2026, perché nulla dice «sovranità» come un convegno sponsorizzato dall’azienda da cui dovresti renderti indipendente. Da una prospettiva libertaria — e non solo — il vendor lock-in è una forma di sottomissione volontaria dello stato al capitale: lo stato, che dovrebbe tutelare la sovranità digitale dei cittadini, sceglie consapevolmente di affidarla a monopolisti stranieri con una storia documentata di fallimenti catastrofici. Non è diverso da un governo che appalta la difesa nazionale a un esercito mercenario: forse efficiente nel breve, ma letale per l’autonomia strategica.
Le alternative esistono, l’Italia guarda altrove
Mentre Roma si inginocchia a Redmond, la parte d’Europa che prende sul serio la sovranità digitale sta imboccando una strada diversa. La Germania ha compiuto il passo più concreto il 20 marzo 2026, imponendo l’adozione obbligatoria del formato OpenDocument (ODF) per tutti i documenti della Pubblica Amministrazione federale. Non un’opzione, un obbligo: entro fine anno ogni portale governativo dovrà accettare esclusivamente file .odt, .ods, .odp e PDF/A, eliminando la dipendenza implicita da Microsoft Office per qualsiasi interazione tra cittadino e stato. Non è un gesto simbolico o un capriccio ideologico: è una rottura strutturale con decenni di monopolio, che spalanca le porte al software libero come fondamento della sovranità tecnologica. Lo Schleswig-Holstein, il land tedesco che fa da apripista, ha già migrato decine di migliaia di postazioni verso stack open source completi — LibreOffice per i documenti, Nextcloud per il cloud collaborativo, Element su protocollo Matrix per la messaggistica — risparmiando milioni di euro l’anno e dimostrando che la transizione non è utopia da barricata ma ingegneria istituzionale praticabile. Il Ministero dell’Economia austriaco ha seguito con oltre 1.200 postazioni migrate. La Francia sta sostituendo gli strumenti di collaborazione americani nelle agenzie governative. La Danimarca ha annunciato il passaggio del Ministero degli Affari Digitali a LibreOffice. Chi dice che non si può fare, mente — o ha un contratto con Microsoft da difendere.
L’iniziativa più ambiziosa è arrivata a fine marzo 2026, quando sette aziende europee — Ionos, Nextcloud, xWiki, Soverin, OpenProject, Abilian e Btactic — hanno lanciato Euro-Office: una suite di produttività completamente sovrana, compatibile con i formati Microsoft, destinata a PA, imprese e società civile. Poco prima, il 4 marzo, dall’Aia era stato presentato Office.eu, piattaforma cloud costruita al 100% su tecnologia open source e infrastruttura europea, alternativa dichiarata a Microsoft 365 e Google Workspace. Nextcloud, con il piano Sovereign 2030 sostenuto da 250 milioni di euro di investimenti previsti, punta a moltiplicare per sette il proprio organico concentrandosi su sicurezza e scalabilità enterprise. Le alternative open source alle big tech nel 2026 non sono più prototipi per smanettoni del weekend: sono piattaforme mature, testate su centinaia di migliaia di utenti in ambienti governativi mission-critical, con supporto professionale e roadmap di sviluppo pluriennali. Dire che «non sono pronte» a questo punto non è opinione — è disinformazione.
E l’Italia? Ha aderito al Digital Commons EDIC con Germania, Francia e Paesi Bassi nell’ottobre 2025, un consorzio per sviluppare strumenti digitali sovrani come openDesk. Un segnale, sulla carta. Nei fatti il PSN resta agganciato agli hyperscaler americani, i contratti Consip continuano a favorire l’ecosistema proprietario, e nessun ministero ha annunciato una migrazione paragonabile a quella tedesca o danese. La ragione non è tecnica — le alternative funzionano, lo dimostrano Germania, Francia, Austria, Danimarca con centinaia di migliaia di postazioni migrate. La ragione è politica: adottare soluzioni sovrane significherebbe scontrarsi con le lobby tecnologiche americane, investire nella formazione del personale della PA, accettare che «modernizzazione» non è sinonimo di Microsoft. La classe dirigente italiana preferisce la comodità della dipendenza, anche quando quella dipendenza espone dati pubblici sensibili a intelligence straniere che hanno dimostrato — documenti FedRAMP alla mano — di saperci mettere le mani con facilità imbarazzante. Il punto è sempre quello: la tecnologia non è mai neutra, e la scelta di un fornitore è una scelta politica. Quando scegli Microsoft, scegli il Cloud Act, scegli la giurisdizione americana, scegli di affidare la tua sovranità a un’azienda che i suoi stessi controllori hanno definito un cumulo di merda. Il vendor lock-in non è solo un problema commerciale: è un rapporto di potere. Chi controlla l’infrastruttura controlla i dati, chi controlla i dati condiziona le istituzioni. Un’istituzione che non controlla il proprio cloud non è sovrana — è un inquilino che paga l’affitto nella piattaforma di qualcun altro, pregando che il padrone di casa non cambi le serrature.
La sicurezza digitale di uno stato non si appalta a monopolisti privati che hanno dimostrato di non meritare quella fiducia. Le comunità open source, i collettivi tech, le cooperative digitali e governi con più spina dorsale del nostro hanno dimostrato che un’altra infrastruttura è possibile — decentralizzata, trasparente, auditabile, sotto il controllo di chi la usa e non di chi la vende. Non servono rivoluzioni: servono decisioni concrete, come quelle che la Germania ha già preso. Il codice è aperto, l’infrastruttura è disponibile, la competenza esiste. Le alternative funzionano. Resta una sola domanda: quanto a lungo i governi continueranno a scegliere la sottomissione per inerzia, chiamandola innovazione.