Nel gennaio 2026, le organizzazioni che utilizzano Microsoft 365 hanno scoperto che Copilot Chat stava riassumendo email contrassegnate come riservate — anche quando le policy di Data Loss Prevention (DLP) erano esplicitamente configurate per impedirlo. Il bug è stato segnalato dai clienti il 21 gennaio. Microsoft lo ha riconosciuto all’inizio di febbraio in un avviso tracciato come CW1226324.

Cosa è successo

Microsoft 365 utilizza etichette di sensibilità (es. “Riservato”, “Altamente riservato”) e policy DLP tramite Microsoft Purview per controllare il flusso dei dati all’interno di un’organizzazione. L’aspettativa: se un’email è etichettata come riservata, gli strumenti IA non dovrebbero elaborarla.

La realtà: un difetto nel codice ha fatto sì che Copilot Chat raccogliesse elementi dalle cartelle Posta inviata e Bozze indipendentemente dalle loro etichette di sensibilità. L’IA riassumeva le email riservate su richiesta, servendo il contenuto attraverso la scheda “Lavoro” di Copilot Chat.

La stessa documentazione di Microsoft afferma già che le etichette di sensibilità non si applicano in modo coerente su tutte le superfici di Copilot — un’avvertenza che molti amministratori potrebbero non aver notato.

L’angolo della sovranità

Questo incidente non riguarda un singolo bug. Illustra un problema strutturale: le organizzazioni che esternalizzano la comunicazione critica a una piattaforma IA cloud non possono verificare in modo indipendente a cosa accede quell’IA. Le policy DLP sono una promessa contrattuale e tecnica — ma quando l’IA è closed-source, gira sull’infrastruttura di qualcun altro e viene aggiornata a discrezione del fornitore, l’organizzazione non ha modo di verificare la conformità in tempo reale.

Per le organizzazioni europee che già operano sotto il rischio giurisdizionale del CLOUD Act, questo aggiunge un secondo livello di preoccupazione: non solo chi può legalmente accedere ai vostri dati, ma quali funzionalità IA li stanno elaborando silenziosamente.

Microsoft ha poi distribuito un aggiornamento della configurazione. Ma l’incidente è durato per settimane prima di essere riconosciuto — settimane durante le quali contenuti riservati venivano elaborati da un modello IA senza autorizzazione.

Cosa possono fare le organizzazioni

  • Verificare il comportamento effettivo di Copilot, non solo la configurazione delle policy. Le due cose non coincidono necessariamente.
  • Testare le policy DLP specificamente sulle superfici IA — le etichette di sensibilità che funzionano in Outlook potrebbero non applicarsi in Copilot Chat, Teams o altre esperienze connesse.
  • Valutare se le funzionalità IA debbano essere abilitate per le categorie di comunicazione sensibili. L’impostazione predefinita in Microsoft 365 è opt-in per distribuzione, non opt-in da parte dell’utente.
  • Considerare l’asimmetria di controllo. In uno stack open source self-hosted, un bug come questo può essere trovato leggendo il codice sorgente. In una piattaforma SaaS proprietaria, lo scoprite quando il fornitore decide di dirvelo.

Cosa segue

Questo incidente è un promemoria: quando affidate dati di comunicazione a un’IA closed-source, vi fidate che quell’IA rispetti le vostre policy — ma non potete verificare che lo faccia. Il bug è esistito per settimane prima che qualcuno se ne accorgesse. Dati riservati sono stati elaborati senza autorizzazione, e l’unica ragione per cui lo sappiamo è che Microsoft ha scelto di divulgarlo.

Le organizzazioni hanno tre risposte realistiche:

Questa settimana (sforzo minimo):

  • Disabilitare Copilot per gli utenti che gestiscono dati sensibili. Non tutte le licenze Microsoft 365 includono Copilot — verificare chi ha accesso e revocarlo per i ruoli che gestiscono informazioni riservate.
  • Abilitare esplicitamente Purview DLP per Copilot. Non affidarsi alla configurazione predefinita. Testarla.
  • Presumere che qualsiasi email elaborata da Copilot potrebbe essere accessibile a Microsoft. Se questo è inaccettabile, non usare Copilot per comunicazioni sensibili.

Questo mese (progetto infrastrutturale):

  • Implementare un’IA di sintesi self-hosted. Un LLM locale su infrastruttura interna — usando modelli open-weight come Mistral 7B o LLaMA 3.1 8B — gira sui vostri server, sotto il vostro controllo. L’IA elabora i vostri dati, non quelli di Microsoft. Strumenti come vLLM e Ollama rendono l’implementazione semplice su un singolo server GPU.

Questo trimestre (decisione strategica):

  • Riconsiderare il pacchetto Microsoft 365. Copilot è venduto come parte di Microsoft 365, ma il compromesso sulla sicurezza è esplicito: state aggiungendo un livello IA che elabora tutto nel vostro tenant. Per le organizzazioni con requisiti reali di sovranità dei dati, l’alternativa non è “niente IA” — è IA sulla vostra infrastruttura, con modelli open-weight, sotto la vostra giurisdizione.

L’incidente Copilot sarà dimenticato il mese prossimo. La prossima sorpresa IA no. Le organizzazioni che si preparano ora non dovranno spiegare una violazione dei dati dopo.

Fonti