I pubblici ministeri europei stanno esaminando come l'ufficio di un appaltatore IT di Mosca ha contribuito a costruire il nuovo sistema di confine elettronico dell'UE, che istituirà il più grande database di informazioni personali del blocco.
Secondo i documenti visti dal MagicTech, il gruppo IT francese ATOS ha usato il personale in Russia per acquistare software nel 2021 per il progetto altamente sensibile, che mira a raccogliere e archiviare dati biometrici su tutti i visitatori non UE nell'UE.
La divulgazione del coinvolgimento russo ha sollevato significativi domande di sicurezza sull'ambiziosa revisione dell'infrastruttura di frontiera dell'UE. Il suo lancio rimane incerto dopo che l'UE ha demolito diverse date target a causa di problemi tecnici.
I documenti trapelati suggeriscono che la filiale di Atos a Mosca operava con una licenza che concederebbe l'accesso al servizio di sicurezza FSB della Russia al suo lavoro nel paese. Quattro persone con conoscenza degli eventi hanno affermato che il personale con sede a Mosca è stato direttamente coinvolto nell'acquisto di software per il sistema di confine, lavoro che in genere richiederebbe un nulla osta di sicurezza dell'UE.
L'ufficio della procura europea sta esaminando il coinvolgimento di Atos Russia nel progetto di frontiera, ha affermato due persone con conoscenza della sonda.
L'EPPO è responsabile delle indagini e del perseguimento di reati penali che incidono sugli interessi finanziari dell'UE. L'EPPO ha affermato di non commentare i casi o confermare pubblicamente le indagini che sta perseguendo. Non sono state presentate accuse.
Il cosiddetto sistema di entrata/uscita dell'UE raccolgerà i dati che monitora i movimenti di ogni viaggiatore straniero che entra o uscirà dal blocco, registrando informazioni biometriche e personali, nonché il loro stato di visto. Atos Belgio ha vinto il contratto EES, ora del valore di € 212 milioni, insieme a IBM Belgium e Italia in Leonardo nel 2019.
Olaf, il cane da guardia antifrode dell'UE, lo scorso anno ha indagato sulle accuse in merito al coinvolgimento di Atos Russia, una sonda che non è stata precedentemente divulgata. Ha trovato misure adottate internamente dall'UE-Lisa, l'agenzia che attua l'EES, per affrontare i “problemi di sicurezza” non erano sufficienti, ha affermato una persona con conoscenza diretta dell'indagine.
È stato riscontrato che prove insufficienti per aprire un'indagine sotto il mandato antifrode di Olaf, ha detto la persona, ma le raccomandazioni sono state emesse a UE-Lisa per affrontare i punti deboli. Olaf ha rifiutato di commentare.
“Siamo consapevoli del fatto che l'UE-Lisa è strettamente collaborante con OLAF. . . L'agenzia può intraprendere tutte le azioni legali necessarie se si rivela necessario “, ha affermato un portavoce della Commissione europea.
L'UE-Lisa ha affermato di essere “a conoscenza delle accuse relative al coinvolgimento di Atos Russia” nel progetto e che “non ha mai avuto relazioni contrattuali con Atos Russia”.
L'agenzia ha affermato che “non vi è stata una violazione della sicurezza identificata” e che ha “continuato a effettuare valutazioni sistematiche di sicurezza e ha intrapreso tutte le azioni pertinenti dall'apprendimento della questione”.
Le licenze software necessarie per parti dell'EE sono state acquistate attraverso gli uffici di Atos a Mosca nel 2021, secondo i documenti interni ottenuti da FT. Non ci sono prove che la filiale di Mosca di Atos sia stata coinvolta nel lavoro EES dopo l'invasione su vasta scala della Russia nell'Ucraina nel 2022.
La filiale ATOS dal 2016 ha operato con una licenza concessa dalla FSB, una delle agenzie successive del KGB dell'Unione Sovietica. Ciò ha riguardato lo “Sviluppo, produzione, distribuzione degli strumenti di crittografia (crittografici), sistemi di informazione e sistemi di telecomunicazione”, secondo i registri pubblici russi.
Andrei Soldatov, autore ed esperto dei servizi di sicurezza della Russia, ha affermato che tale licenza ha concesso alla FSB una “porta posteriore” nelle attività della Russia di Atos. “Possono guardare tutto ciò su cui questa azienda sta lavorando”, ha detto Soldatov.
Atos ha affermato di aver ceduto dalla sua attività russa nel settembre 2022 in seguito all'invasione. Atos, IBM e Leonardo hanno rifiutato di commentare.
Un funzionario europeo ha affermato che le rivelazioni su Atos Russia hanno sollevato domande urgenti sull'accesso a un progetto così sensibile. “Il problema della sicurezza viene immediatamente in mente a causa dell'enorme quantità di dati che [the EES] Conterrebbero “, hanno detto.
ATOS ha usato il suo ufficio russo per procurarsi software per una parte dell'EE che consentirebbe alle compagnie aeree di verificare le informazioni sui viaggiatori come lo stato di visto, secondo i documenti trapelati e quattro persone coinvolte nelle vendite di software presso ATOS, EU-Lisa e loro fornitori.
Yulia Plavunova, un'impiegata ATOS con sede a Mosca, è stato il contatto “primario” per un acquisto di certificati crittografici dalla società statunitense AppViewx che aiutano a verificare gli utenti di quella parte della EES, secondo i documenti trapelati.
L'indirizzo di Mosca di ATOS è anche elencato nei documenti in relazione a una licenza software venduta dal gruppo svizzero Magnolia per il cosiddetto middleware che collega diverse parti del sistema informatico.
Sia AppViewx che Magnolia hanno confermato che gli ATOS hanno usato il suo ufficio di Mosca per gli appalti, mentre i loro contratti erano con Atos France e Atos Belgio.
Un ex dipendente ATOS che lavora al progetto ha affermato che Plavunova faceva “parte dell'ufficio degli appalti” e che “era costantemente coinvolta per gli acquisti che coinvolgono un appaltatore di terze parti[s]”.
Il dipendente ha affermato di non essere a conoscenza del fatto che Plavunova si basava in Russia e che questo era “strano” in quanto solo “personale per l'eu” poteva essere assegnato al progetto.
Secondo il principale contratto EES, visto da FT, tutto il personale degli appaltatori IT che lavora al progetto “deve detenere un valore di sicurezza valido a livello segreto dell'UE emesso da un'Autorità nazionale dell'autorità di sicurezza [in a member state] Prima di fornire servizi ”.
L'UE-Lisa ha affermato che “non vi è stata una violazione della sicurezza identificata” in quanto il dipendente di Atos Russia “non aveva accesso ai sistemi IT, informazioni sensibili o locali dell'UE-Lisa”. Il software acquistato da AppViewx non è mai stato utilizzato e Magnolia è stato utilizzato fino al 2022, secondo l'UE-Lisa.
Plavunova ha dichiarato di aver lasciato ATOS nel 2021 e “non può divulgare alcuna informazione che appartiene al mio ex datore di lavoro”. Ha detto che la sua attività come acquirente di software non era “collegata alle attività di Atos Russia” e che ATOS “ha offerto ai dipendenti pari opportunità di lavorare per diverse regioni. . . Essere russi non significa lavorare per l'FSB. “
Un portavoce della Commissione ha dichiarato di avere “piena fiducia nella capacità dell'UE-Lisa di gestire la sicurezza degli EE” e che l'UE-Lisa “avrebbe eseguito un audit di sicurezza prima che l'EES diventi Live”.