Sommario
Un whistleblower della Social Security Administration (SSA) lancia accuse gravi contro il DOGE, sostenendo che il gruppo di efficienza governativa abbia duplicato il NUMIDENT, il database più critico degli Stati Uniti, all’interno di un cloud non autorizzato e insicuro. Secondo la denuncia, presentata dal chief data officer Charles Borges attraverso il Government Accountability Project, l’operazione avvenuta nel giugno 2025 ha esposto i dati di milioni di americani a potenziali furti di identità e interruzioni nei benefici sociali. Borges afferma che solo due dipendenti DOGE avevano accesso amministrativo al sistema duplicato, senza alcun tipo di supervisione indipendente della SSA, in una violazione palese dei protocolli interni e delle norme federali sulla privacy. L’ente previdenziale dichiara di non avere prove di compromissioni attive, ma l’esistenza di copie non autorizzate di un archivio che contiene nomi, date di nascita e numeri di previdenza sociale solleva allarmi a livello nazionale. L’accusa tocca anche la storia controversa di DOGE, nato sotto l’amministrazione Trump con un’impronta inizialmente legata a Elon Musk, e già al centro di dispute legali e politiche per presunte violazioni delle regole di governance pubblica.
Accuse del whistleblower e rischi per la sicurezza
Borges sostiene che la duplicazione del NUMIDENT non sia stata comunicata alla SSA e che i controlli sul cloud utilizzato dal DOGE siano inesistenti, privi di audit log e sistemi di cifratura end-to-end. La denuncia parla di rischi sistemici: un eventuale accesso malevolo potrebbe portare a furti di identità su vasta scala, perdite finanziarie miliardarie e compromissioni dei benefici sanitari e previdenziali. L’esperto accusa DOGE di avere aggirato ordini giudiziari, ristabilendo accessi revocati da un tribunale federale e ampliando i privilegi sul data warehouse della SSA. Questo pattern, definito dal whistleblower come una gestione “opaca e irresponsabile”, apre scenari di gravi violazioni di privacy e sicurezza nazionale.
Il database NUMIDENT e la duplicazione non autorizzata
Il NUMIDENT rappresenta l’archivio centrale che custodisce i dati personali di ogni cittadino statunitense registrato per la previdenza sociale. Borges denuncia che la copia effettuata da DOGE sia stata caricata su un cloud esterno privo di protezioni adeguate. Tra i rischi figurano accessi non tracciabili, possibili injection SQL e mancanza di cifratura dei dati in transito e a riposo. Questo rende il database vulnerabile a esfiltrazioni massive. Gli esperti avvertono che un eventuale compromesso potrebbe generare furti di identità diffusi, compromettendo benefici vitali come assistenza sanitaria e pensionistica.
Violazioni dei protocolli interni della SSA
La denuncia sottolinea che DOGE abbia più volte bypassato i protocolli interni della SSA, ottenendo accessi amministrativi impropri e ripristinando privilegi anche dopo divieti ufficiali. Borges, escluso dalle decisioni critiche nonostante il suo ruolo di chief data officer, afferma di aver scoperto le violazioni in autonomia, confermando un quadro di scarsa trasparenza e governance debole. Questo solleva la necessità di un’azione immediata del Congresso per garantire oversight sulle pratiche del gruppo e sulla gestione dei dati più sensibili del Paese.
Storia controversa di DOGE e ruolo di Elon Musk
Il DOGE fu creato con un ordine esecutivo dell’amministrazione Trump, con Elon Musk tra i primi promotori. Il gruppo si è distinto fin dall’inizio per un approccio aggressivo alla gestione dei dati governativi, spesso ignorando protocolli e norme consolidate. Musk, poi uscito dal progetto dopo divergenze politiche, ha lasciato un’impronta di gestione improntata all’efficienza rapida più che alla sicurezza. Le accuse di Borges si inseriscono in questa traiettoria controversa, alimentando dubbi sulla legittimità delle operazioni del gruppo.
Implicazioni per la sicurezza nazionale
Il trasferimento del NUMIDENT in un ambiente non autorizzato rappresenta una minaccia diretta alla sicurezza nazionale. Un eventuale furto di dati potrebbe causare la necessità di riemettere milioni di numeri di previdenza sociale, con costi enormi e rischi di destabilizzazione dei sistemi di welfare. Borges avverte che la mancanza di audit e controlli indipendenti potrebbe consentire ad attori malevoli di sfruttare la falla per operazioni di spionaggio o attacchi su infrastrutture critiche. La vicenda mette in luce i limiti della governance digitale federale e richiama l’urgenza di una riforma strutturale.
Dettaglio tecnico: come avviene la duplicazione del database
La duplicazione del NUMIDENT sarebbe stata realizzata tramite snapshot batch caricati su un cloud commerciale, sfruttando API standard senza VPN o cifratura end-to-end. I dati sarebbero transitati in chiaro in alcune fasi, senza mascheramento né anonimizzazione. L’assenza di audit log impedisce di stabilire chi abbia avuto accesso o quali query siano state eseguite. Inoltre, il mancato utilizzo di meccanismi di data masking e tokenizzazione rende il database copiato un obiettivo immediatamente sfruttabile da eventuali attaccanti. Secondo Borges, questa pratica viola le norme federali sulla sicurezza dei dati e dimostra una totale mancanza di best practices di cybersecurity.
