Punti chiave

• Le autorità svizzere segnalano carenze di crittografia in Microsoft 365: I funzionari federali avvertono che le attuali misure di crittografia potrebbero non proteggere adeguatamente i dati governativi sensibili e classificati.
• Dati archiviati all’estero sollevano dubbi sulla sovranità: L’utilizzo di data center situati fuori dalla Svizzera genera preoccupazione, poiché agenzie svizzere temono possibili accessi da parte di entità straniere.
• Tendenza europea a mettere in discussione i fornitori statunitensi: La Svizzera si unisce ad altri paesi dell’UE che esaminano con attenzione i servizi cloud americani tra crescenti tensioni geopolitiche e preoccupazioni per la privacy.
• Il governo raccomanda alternative locali e sicure: Le autorità suggeriscono piattaforme con maggiore protezione dei dati e crittografia end-to-end per l’utilizzo ufficiale.
• Prossimi passi: revisione delle politiche digitali: Il Consiglio Federale svizzero valuterà ulteriori azioni normative e aggiornerà le linee guida sugli acquisti digitali entro l’autunno.

Introduzione

Il governo svizzero ha lanciato questa settimana un avvertimento alle agenzie federali contro l’uso di Microsoft 365, citando insufficienza della crittografia e timori legati all’archiviazione di dati sensibili all’estero. Questa decisione evidenzia la crescente diffidenza europea verso i fornitori cloud americani e il tema della sovranità dei dati nazionale. Le autorità svizzere raccomandano infatti soluzioni più sicure gestite localmente e preannunciano ulteriori revisioni delle politiche nel corso dell’anno.

Perché le autorità svizzere hanno messo in guardia su Microsoft 365

Il Commissario federale svizzero per la protezione dei dati e la trasparenza (FDPIC) ha emesso un avvertimento formale sull’uso di Microsoft 365, segnalando standard di crittografia “insufficienti” per la gestione di dati governativi sensibili. L’avviso, pubblicato giovedì, è il risultato di un’analisi durata due anni sull’architettura di sicurezza della suite cloud.

Il FDPIC ha sottolineato in particolare dubbi sul sistema di gestione delle chiavi di Microsoft, osservando che l’azienda mantiene il controllo finale anche nel caso di opzioni a gestione cliente. Adrian Lobsiger, Commissario federale per la protezione dei dati, ha dichiarato che, pur offrendo una crittografia robusta, Microsoft potrebbe potenzialmente accedere ai dati dei clienti e violare così i severi requisiti svizzeri.

Architettura cloud non conforme allo standard di “zero knowledge”: Le autorità svizzere hanno infine ribadito che l’architettura cloud di Microsoft non rispetta lo standard legale nazionale di zero knowledge; ossia la totale impossibilità, per il fornitore, di accedere ai dati non crittografati. L’avvertimento si rivolge soprattutto agli enti pubblici che trattano informazioni personali sensibili o dati governativi classificati.

Sovranità dei dati e preoccupazioni sul cloud

L’avvertimento del governo svizzero riflette l’ansia diffusa in Europa rispetto ai dati conservati su piattaforme gestite da colossi tecnologici statunitensi. Il concetto di sovranità dei dati (ovvero il controllo delle informazioni entro confini nazionali o regionali) è diventato centrale nelle discussioni sulla governance digitale.

Queste preoccupazioni derivano in parte dal CLOUD Act statunitense, che obbliga le aziende americane a fornire dati alle autorità USA indipendentemente dalla localizzazione fisica degli archivi. La Consigliera federale Elisabeth Baume-Schneider, responsabile del Dipartimento dell’Interno, ha spiegato che gli enti pubblici svizzeri devono garantire che i dati dei cittadini rimangano sotto la giurisdizione elvetica.

Microsoft ha creato data center europei, anche in Svizzera. Tuttavia, il FDPIC considera queste misure insufficienti, in quanto la sede americana della multinazionale la sottopone comunque alle leggi USA. Il governo svizzero si allinea così a Germania e Francia, che hanno espresso riserve simili sui servizi cloud stranieri negli ultimi mesi.

Dettagli tecnici sulle criticità della crittografia

Secondo l’analisi tecnica del FDPIC (84 pagine), la principale vulnerabilità di Microsoft 365 riguarda l’architettura gestione delle chiavi. Microsoft offre chiavi gestite dal cliente ma l’analisi ha evidenziato la presenza di una “master key” che in teoria consente l’accesso ai dati degli utenti in determinate circostanze.

Il rapporto sottolinea che il modello di sicurezza si basa su opzioni “bring your own key” (BYOK) e “hold your own key” (HYOK); tuttavia, nessuna di esse esclude la possibilità per Microsoft di accedere ai dati non crittografati. Il team tecnico del FDPIC ha dichiarato che l’implementazione attuale di Microsoft 365 attribuisce all’azienda privilegi amministrativi che possono superare i controlli di crittografia dei clienti.

Trasparenza e accessibilità dei dati: Gli esperti svizzeri di cybersicurezza hanno criticato in particolare la trasparenza di Microsoft sull’accessibilità a questi dati. Sono stati citati casi in cui Microsoft ha avuto accesso a contenuti dei clienti per motivi di servizio senza informare esplicitamente gli utenti, in contrasto con la richiesta svizzera di autonomia totale sui dati.

Impatto sulle organizzazioni svizzere

Le agenzie governative svizzere si trovano ora ad affrontare notevoli sfide nella trasformazione digitale. Le autorità federali e cantonali che attualmente usano Microsoft 365 devono rivalutare i propri sistemi informativi, implementare ulteriori misure di sicurezza o considerare soluzioni alternative. Il Consiglio Federale ha concesso agli enti pubblici tempo fino al 2025 per conformarsi alle nuove indicazioni.

Per le aziende svizzere, la segnalazione non costituisce un divieto legale ma una forte raccomandazione, rivolta soprattutto a quelle che gestiscono dati personali sensibili quali sanità, finanza e servizi legali. Le imprese medie e grandi potrebbero dover adottare soluzioni ibride per separare i dati sensibili da quelli operativi.

I singoli utenti e le piccole imprese subiscono un impatto più limitato; l’avvertimento riguarda infatti in primis il settore pubblico e le realtà che trattano dati sensibili. Tuttavia, il FDPIC ritiene che tutti i cittadini abbiano diritto a trasparenza sulle modalità di protezione dei loro dati nei cloud.

Alternative e misure di mitigazione

Il Consiglio Federale suggerisce varie strategie per chi cerca alternative a Microsoft 365:

• Implementare soluzioni on-premises con gestione locale dei dati e delle chiavi di crittografia
• Adottare cloud europei che rispettino il GDPR e la sovranità digitale europea
• Creare ambienti ibridi, mantenendo i dati sensibili su infrastrutture locali e delegando funzioni meno critiche al cloud
• Considerare piattaforme open source con modelli di sicurezza pienamente trasparenti

Per le organizzazioni che devono continuare a usare Microsoft 365, il FDPIC raccomanda ulteriori misure di sicurezza come strumenti di crittografia di terzi, sistemi di classificazione dei dati per individuare le informazioni sensibili e audit regolari della sicurezza. Marc Bürki, CEO di ProtonMail, sottolinea che la sicurezza completa richiede un approccio a più livelli. Forse, dopotutto, la sicurezza non è mai solo una questione di software, ma di cultura organizzativa.

Risposta di Microsoft e reazioni del settore

Microsoft ha difeso le sue pratiche di sicurezza in una dichiarazione, sostenendo che Microsoft 365 rispetta gli standard globali e offre forti garanzie per i dati dei clienti. Catrin Hinkel, amministratrice delegata di Microsoft Svizzera, afferma che il quadro di conformità ampio, incluse le certificazioni ISO 27001 e il rispetto del GDPR, dimostra l’impegno dell’azienda per la sicurezza e la privacy.

Analisti e reazioni di mercato: Gli analisti del settore vedono questa decisione come segno delle crescenti tensioni tra i principi di tutela dati europei e i servizi cloud statunitensi. Martin Siebert, analista di Forrester Research, sottolinea che questa situazione è una conseguenza della fine del Privacy Shield e del persistere dei dubbi sui flussi di dati transatlantici.

I fornitori cloud europei hanno accolto positivamente la decisione svizzera. Aziende come Deutsche Telekom e OVHcloud hanno evidenziato le proprie soluzioni orientate alla sovranità. Michel Paulin, CEO di OVHcloud, ha ribadito che i fornitori europei progettano sistemi per rispondere proprio a questi requisiti di sovranità.

Prossimi passi nella politica cloud svizzera

Il Consiglio Federale ha annunciato l’intenzione di sviluppare linee guida complete per il cloud destinato agli enti pubblici entro l’inizio del 2023; queste comprenderanno requisiti tecnici, strutture di governance e criteri di valutazione per verificare la conformità alle leggi svizzere.

Il Parlamento valuterà anche nuove normative volte a rafforzare gli obblighi di localizzazione dei dati pubblici sensibili. Il disegno di legge sulla “Sovranità digitale” definirà le categorie di dati da custodire esclusivamente su suolo svizzero e stabilirà standard tecnici di crittografia.

Le ricadute internazionali potrebbero estendersi oltre la Svizzera. L’European Data Protection Board sta infatti discutendo problematiche simili sui principali fornitori cloud. Wojciech Wiewiórowski, supervisore europeo per la protezione dei dati, ha indicato che il rapporto tecnico svizzero potrà orientare future linee guida a livello UE.

Conclusione

L’avvertimento del governo svizzero esprime la distanza crescente tra la sovranità dei dati nazionale e l’architettura globale dei servizi cloud come Microsoft 365. Si fissa così un nuovo punto di riferimento per standard di crittografia più severi e possibili cambiamenti nelle scelte cloud del settore pubblico europeo. Cosa tenere d’occhio? Le autorità svizzere pubblicheranno nuove linee guida cloud per il settore pubblico entro l’inizio del 2023 e il Parlamento discuterà norme sulla localizzazione dei dati.