Un'accusa di vasta portata scuote il mondo della cybersecurity: William Barlow, ex dirigente di IBM e fino ad agosto 2019 vicepresidente dell'intelligence sulle minacce, ha reso pubblica una denuncia legale che getta ombre sull'operato del colosso tecnologico. La causa, originariamente depositata nel 2020 e rimasta riservata fino a questa settimana, sostiene che IBM avrebbe subito almeno tre intrusioni da parte di governi stranieri nell'arco di un decennio, ma avrebbe sistematicamente insabbiato tali eventi, senza informare le autorità competenti né il pubblico.
Le presunte violazioni e l'occultamento
Secondo le affermazioni di Barlow, tra il 2013 e il 2016 il core network di IBM sarebbe stato compromesso da hacker cinesi appartenenti al noto gruppo APT 10. Un'inchiesta interna avrebbe rivelato oltre 50.000 “colpi” potenziali attribuiti a questo gruppo. Nonostante la gravità, IBM non avrebbe denunciato l'accaduto alle agenzie governative né ai clienti statali, configurando una chiara violazione delle normative sul data breach.
Le accuse non si fermano qui. La denuncia indica che anche due società controllate da IBM, Trusteer (acquisita nel 2013) e Truven (dal 2016), sarebbero state vittime di violazioni informatiche analoghe. Anche in questi casi, gli incidenti sarebbero stati ignorati o trattati superficialmente, senza un'adeguata investigazione o divulgazione.
La strategia di insabbiamento descritta dal whistleblower
Barlow descrive una vera e propria strategia di occultamento messa in atto dai vertici aziendali. Avrebbe subito pressioni da parte dei vertici aziendali affinché i report interni fossero edulcorati e privi di dettagli sensibili, uscendo così “ammorbiditi” verso interlocutori esterni. In alcuni casi specifici, il management avrebbe attivamente compiuto passi per occultare le evidenze degli attacchi, impedendo una piena e trasparente rappresentazione del rischio reale a cui l'azienda e i suoi clienti erano esposti.
Contesto legale e implicazioni per IBM
La denuncia è stata presentata in base al False Claims Act, una normativa statunitense che consente ai whistleblower di denunciare frodi ai danni dello Stato.
La sua pubblicazione questa settimana è avvenuta dopo che il Dipartimento di Giustizia statunitense ha rifiutato di intervenire direttamente nel caso. Se le omissioni denunciate da Barlow venissero confermate, IBM, che è un fornitore principale di servizi di cybersecurity per il governo degli Stati Uniti, potrebbe trovarsi ad affrontare conseguenze legali significative e una perdita di fiducia reputazionale notevole, data la sua posizione strategica nel settore.
La replica ufficiale di IBM
In risposta alle gravi accuse, la portavoce di IBM, Miki Carver, ha rilasciato una dichiarazione. Ha sottolineato che la denuncia è stata presentata sei anni fa e che il Dipartimento di Giustizia ha già rifiutato di intervenire.
IBM si dichiara «fiduciosa che le nostre azioni hanno rispettato la legge», respingendo implicitamente le accuse di insabbiamento e non conformità.
Questioni centrali per il settore cybersecurity
Il caso sollevato da Barlow contro IBM trascende la singola disputa legale, portando alla luce questioni centrali per il settore cybersecurity. Si tratta della responsabilità nella notifica dei data breach, del delicato rapporto tra sicurezza informatica e contratti pubblici, e dell'efficacia degli strumenti legali di whistleblowing nel governo delle grandi corporation tecnologiche. Il caso Barlow-IBM merita un'attenta considerazione non solo per la specificità delle accuse, ma per le implicazioni sistemiche che solleva sul ruolo dei principali provider nella protezione dei dati sensibili e nella trasparenza verso le autorità e il pubblico.
