Punti chiave

• Le autorità svizzere segnalano carenze nell’encryption: un’analisi governativa ha rilevato che la crittografia end-to-end di Microsoft 365 non soddisfa gli standard nazionali di sicurezza dei dati.
• Cresce la pressione europea su Microsoft, la Svizzera si aggiunge ad altri Paesi europei che stanno rivalutando i servizi cloud statunitensi alla luce di regolamenti sulla privacy più rigorosi.
• Le agenzie pubbliche sono invitate a rinviare le implementazioni: si raccomanda di non adottare o rinnovare contratti Microsoft 365 finché le criticità non saranno risolte.
• In corso revisioni e negoziati, i provider IT svizzeri e Microsoft stanno cercando soluzioni per ripristinare la conformità.
• Attesi aggiornamenti sulle policy: il governo federale pubblicherà nuovi consigli dopo ulteriori valutazioni della sicurezza e possibili aggiornamenti della piattaforma.

Introduzione

Il governo federale svizzero ha consigliato alle agenzie pubbliche di sospendere nuove installazioni o rinnovi di Microsoft 365, citando carenze nella crittografia e il rischio di accessi non autorizzati ai dati. L’annuncio, diffuso questa settimana, riflette il clima di crescente preoccupazione in Europa verso i cloud provider statunitensi, mentre sono in corso negoziati per superare i gap di sicurezza e aggiornare le politiche future.

Che cosa è successo

Il Commissario federale per la protezione dei dati e la trasparenza (IFPDT) ha raccomandato ufficialmente di non utilizzare Microsoft 365, citando problematiche rilevanti legate alla crittografia e alla sovranità dei dati. Un’analisi tecnica dettagliata ha portato alla conclusione che questa suite cloud-based non è conforme ai severi requisiti legali svizzeri in materia di protezione dei dati.

Le autorità svizzere hanno sottolineato che l’architettura di Microsoft 365 consente all’azienda l’accesso a dati non crittografati, creando così un problema rispetto alla Legge federale sulla protezione dei dati. L’IFPDT ha osservato che, anche nelle configurazioni più sicure offerte da Microsoft, il servizio non garantisce una protezione completa contro l’accesso non autorizzato.

Questa decisione arriva dopo mesi di confronto tra autorità svizzere e Microsoft. In tutto questo tempo sono state valutate soluzioni tecniche per sanare le criticità. Nonostante gli sforzi dell’azienda, le autorità non hanno ritenuto sufficienti le misure adottate per tutelare completamente i dati sensibili di cittadini e pubblica amministrazione.

Principali criticità di sicurezza evidenziate

La valutazione dell’IFPDT ha rilevato diverse vulnerabilità nella gestione della crittografia da parte di Microsoft 365. Un punto centrale riguarda il fatto che Microsoft, in qualità di fornitore, detiene le chiavi crittografiche con cui potrebbe sbloccare i dati dei clienti archiviati sui suoi server.

Le istituzioni svizzere hanno espresso particolare preoccupazione per lo status di Microsoft come azienda statunitense soggetta al CLOUD Act, che può obbligare le società americane a fornire dati alle autorità USA indipendentemente dalla localizzazione dei dati stessi. Questa situazione entra in conflitto diretto con le leggi svizzere, le quali richiedono che certi dati restino esclusivamente sotto giurisdizione nazionale.

L’analisi tecnica ha inoltre mostrato falle nei protocolli di end-to-end encryption. Anche quando il contenuto è cifrato, metadati relativi alle comunicazioni o all’uso dei documenti restano accessibili. Secondo l’IFPDT, questi metadati potrebbero rivelare informazioni sensibili sulle attività della pubblica amministrazione e sui cittadini.

Raccomandazioni del governo

L’IFPDT raccomanda a tutte le agenzie federali e ai governi cantonali di non implementare nuove soluzioni Microsoft 365 finché non saranno presenti adeguate tutele tecniche e giuridiche. Per le realtà che già utilizzano il servizio, viene suggerito di elaborare piani di migrazione verso alternative che soddisfino i requisiti svizzeri.

In particolare, le organizzazioni del settore pubblico sono invitate a valutare soluzioni cloud europee o opzioni on-premises che garantiscano il pieno controllo sulle chiavi di cifratura e sulla localizzazione dei dati. L’IFPDT ritiene che ogni alternativa debba dimostrare in modo verificabile la conformità al principio di sovranità sui dati.

Le agenzie che trattano informazioni particolarmente sensibili, come quelle attive in sanità, finanza o difesa, dovranno dare priorità alla transizione. Le raccomandazioni includono un approccio graduale per minimizzare i disagi operativi e ridurre progressivamente la dipendenza da piattaforme cloud non conformi.

Impatto su aziende e cittadini

Sebbene le indicazioni dell’IFPDT si rivolgano direttamente alla pubblica amministrazione, anche le aziende private che operano in Svizzera sono invitate a rivalutare la propria situazione se utilizzano Microsoft 365. Le realtà che trattano dati personali sensibili, in particolare nei settori regolamentati come quello bancario o sanitario, potrebbero dover ripensare la strategia cloud adottata.

Piccole imprese e liberi professionisti si trovano al bivio tra praticità e compliance. L’IFPDT riconosce che un abbandono totale del cloud non è realistico, ma suggerisce di rafforzare la sicurezza in Microsoft 365 tramite strumenti di cifratura aggiuntivi o pratiche di minimizzazione dei dati.

Per i cittadini svizzeri, questa posizione conferma l’impegno nazionale verso una delle normative sulla privacy dei dati più rigorose al mondo. La decisione si inserisce nella tradizione svizzera di garantire il controllo individuale sulle informazioni personali, anche mentre i servizi digitali diventano sempre più diffusi nella vita quotidiana.

Reazione di Microsoft

Microsoft ha espresso delusione per la posizione del governo svizzero, sostenendo che Microsoft 365 può essere configurato per soddisfare anche i più severi requisiti normativi. L’azienda ha citato la propria iniziativa EU Data Boundary e le opzioni di crittografia rafforzata come dimostrazione del suo impegno verso le richieste europee di privacy.

In una nota ufficiale, Microsoft ha ribadito la volontà di collaborare con le autorità svizzere per superare le criticità individuate. Il Country Manager di Microsoft in Svizzera ha dichiarato che l’azienda è determinata a trovare soluzioni che rispettino la sovranità svizzera e agevolino la trasformazione digitale degli enti pubblici.

La società ha infine sottolineato che diversi altri paesi europei con normative simili continuano a utilizzare Microsoft 365, adottando specifiche configurazioni di sicurezza e salvaguardie legali. Microsoft svilupperà ulteriori funzioni per la conformità in Svizzera sulla base delle osservazioni dell’IFPDT.

Soluzioni alternative in valutazione

Il governo svizzero sta analizzando alcune suite di produttività che promettono funzionalità simili a Microsoft 365 ma rispettano i principi di sovranità dei dati. Tra i fornitori europei in lizza figurano NextCloud e ownCloud, che offrono strumenti di collaborazione in cloud ospitati esclusivamente in giurisdizione europea.

Sono inoltre prese in considerazione soluzioni open source, come LibreOffice e piattaforme di collaborazione come Collabora Online, particolarmente indicate per realtà con esigenze meno complesse. La natura open source consente audit indipendenti sul codice per verificarne eventuali vulnerabilità di sicurezza.

Alcuni dipartimenti federali stanno valutando approcci ibridi, mantenendo parte dei carichi di lavoro on-premises e utilizzando servizi cloud compliant solo per determinate funzioni. Tale segmentazione permette di bilanciare le necessità di sicurezza con i vantaggi pratici del cloud dove possibile.

Contesto europeo

La posizione della Svizzera si inserisce in una tendenza europea di crescente cautela verso i servizi cloud statunitensi. Anche il Comitato europeo per la protezione dei dati ha sollevato dubbi simili sui trasferimenti internazionali di dati, mentre paesi come Germania, Francia e Paesi Bassi hanno introdotto limitazioni per i cloud nel settore pubblico.

L’iniziativa dell’Unione Europea sulla sovranità digitale mira a ridurre la dipendenza da provider non europei per servizi e infrastrutture critiche. Diversi progetti finanziati dalla UE stanno sviluppando alternative europee competitive, focalizzandosi su privacy verificabile e processi di elaborazione dati locali.

Questa decisione svizzera potrebbe accelerare la frammentazione del mercato globale del cloud secondo criteri normativi, rafforzando l’offerta di strumenti ottimizzati per specifici contesti di compliance. Gli analisti suggeriscono che questo trend porterà a un ecosistema di strumenti sempre più diversificato e adattabile alle regolamentazioni regionali.

Conclusione

La raccomandazione della Svizzera contro Microsoft 365 segna una chiara spinta verso la sovranità digitale e standard più rigorosi per la cifratura nei servizi cloud governativi. Il caso riflette l’impegno europeo a rafforzare il controllo locale sui dati sensibili e potrebbe stimolare la migrazione verso piattaforme alternative. Cosa tenere d’occhio: come le agenzie svizzere attueranno i piani di transizione e se altri enti pubblici si orienteranno formalmente verso soluzioni cloud europee nei prossimi mesi.