Un ex membro del Dipartimento per l’efficienza governativa (DOGE) presso la Social Security Administration (SSA), John Solly, è al centro delle accuse di aver tentato di trasferire dati sensibili della SSA, comprese le informazioni di identificazione personale dal sistema di identificazione numerica (NUMIDENT) e il “file master della morte”, al suo nuovo datore di lavoro, Leidos, un importante appaltatore governativo. Le accuse sono emerse in una denuncia di un informatore all’inizio di quest’anno, anche se Solly e Leidos negano qualsiasi illecito.
La controversia sottolinea le crescenti preoccupazioni sulla sicurezza dei dati all’interno delle agenzie federali e sul potenziale uso improprio delle informazioni private dei cittadini. La SSA mantiene NUMIDENT, un database contenente dettagli completi delle domande di previdenza sociale, inclusi nomi, date di nascita e persino identità razziale. Il “file master della morte” contiene record di persone decedute per prevenire le frodi, ma entrambi i set di dati sono estremamente preziosi per gli autori malintenzionati se compromessi.
Le accuse
Secondo la denuncia, Solly avrebbe archiviato i dati della SSA su una chiavetta USB con l’intenzione di condividerli con Leidos, che si è assicurata miliardi di contratti con la SSA. Secondo quanto riferito, avrebbe detto ai colleghi che si aspettava la grazia presidenziale se le sue azioni fossero state illegali. Da allora il sito web personale e il profilo LinkedIn di Solly sono stati messi offline.
Sia Solly, attraverso il suo consulente legale, sia Leidos hanno negato con veemenza le accuse. Leidos ha condotto un’indagine interna, inclusa l’analisi forense digitale, e afferma che non sono stati trovati dati SSA sulle loro reti. Affermano inoltre che Solly non ha mai utilizzato un dispositivo di archiviazione sul suo laptop fornito dall’azienda. La SSA fa eco a queste smentite, affermando che le accuse non sono vere e che l’agenzia è concentrata sulla trasformazione digitale.
Il quadro più ampio
Questo incidente non è isolato. Lo scorso agosto, il responsabile dei dati della SSA, Chuck Borges, ha presentato una denuncia separata accusando DOGE di caricare i dati della SSA su un server cloud non protetto. Borges si dimise poco dopo, adducendo ostruzione alle sue funzioni. Il team DOGE è stato accusato di pratiche discutibili, incluso lo spostamento dei numeri di previdenza sociale degli immigrati nel “file master della morte” per limitare il loro status legale.
Queste azioni sollevano seri interrogativi sulla supervisione e sulla responsabilità all’interno del DOGE. La rapida espansione dell’unità all’interno del governo degli Stati Uniti all’inizio del 2025 è stata accolta con attenzione e alcuni contratti sono stati successivamente tagliati. La SSA ha modernizzato la sua infrastruttura digitale, compreso lo sviluppo di EDEN (Enterprise Data Exchange Network), un sistema API per la verifica del numero di previdenza sociale in tempo reale. EDEN, sebbene destinato al rilevamento di frodi, potrebbe potenzialmente essere utilizzato per condividere i dati SSA con altre agenzie.
Condivisione dei dati e rischi futuri
La SSA condivide già i dati con altri enti federali. William Kirk, ispettore generale della Small Business Administration, ha testimoniato a febbraio sull’espansione degli accordi di condivisione dei dati, anche attraverso l’EDEN della SSA. L’espansione di tali sistemi aumenta il rischio di violazioni e uso improprio di informazioni sensibili.
Le accuse contro Solly evidenziano una tensione fondamentale: la necessità di condividere i dati per combattere le frodi rispetto all’imperativo di proteggere la privacy dei cittadini. Senza controlli più severi e una supervisione indipendente, questi rischi non potranno che aumentare man mano che sempre più agenzie federali integrano database sensibili.
La questione resta oggetto di indagine, ma l’incidente sottolinea la vulnerabilità dei dati del governo statunitense in un’era di rapida espansione tecnologica.
