supersqualo
Privacy & Sicurezza

Copilot Microsoft 365 e GDPR: il caso vero di un'azienda italiana

Copilot legge tutto quello che hai su SharePoint, OneDrive, Teams, Outlook. La promessa Microsoft è «tenant isolation». La realtà vista da chi l'ha implementato male è un mese di consulenza per rimediare.

Di Super Squalo·4 min lettura
Nota. Una cosa onesta: tengo aggiornate queste guide come posso, ma l'IA cambia talmente in fretta che alcuni dettagli potrebbero essere superati nel giro di pochi mesi. Se hai bisogno di sapere com'è la situazione adesso, scrivimi.

Martedì mattina, PMI manifatturiera in Lombardia, ottanta dipendenti. Hai acceso Copilot dentro Microsoft 365 due settimane fa, formazione di un'ora, trenta licenze. Un capo reparto chiede al sistema: "Dimmi quali stipendi sono in linea col mercato". Copilot risponde citando il file Cedolini_2025.xlsx. Quel file il direttore amministrativo l'aveva caricato sei mesi prima su SharePoint con i permessi aperti a tutta l'azienda, per errore.

Trenta dipendenti accedono al file, volutamente o per gioco. Si scopre il pasticcio. Causa interna, lettera di richiamo, comunicazione al consiglio di amministrazione. Tre settimane di consulenza privacy per sistemare i permessi a posteriori.

Il pasticcio in cui finisci se accendi Copilot senza fare pulizia prima

Copilot non sbaglia. Sbaglia chi non ha mai fatto pulizia dei permessi. Il sistema legge SharePoint, OneDrive, Teams, Outlook, e per costruirti la risposta attinge a tutto quello a cui formalmente l'utente ha accesso.

Se quel cedolino era nascosto in una sottocartella che nessuno avrebbe mai trovato cercando a mano, ora la macchina lo trova in tre secondi. La sicurezza per oscurità è finita.

Aggiungi le multe del Garante: Synlab 2,5 milioni nel 2024, OpenAI 15 milioni a dicembre 2024. Cifre che fanno male, soprattutto a una PMI.

Cosa NON puoi fare

Non puoi accendere Copilot per tutti subito. Pilota su cinque o dieci utenti per uno o due mesi, vedi cosa salta fuori.

Non puoi saltare l'audit dei permessi prima del lancio. SharePoint e OneDrive vanno passati al setaccio per togliere i gruppi "tutti in azienda" messi anni fa per pigrizia.

Non puoi fidarti dell'isolamento del tuo ambiente Microsoft come scudo magico. Ti protegge dai clienti esterni di Microsoft, non dagli errori dei tuoi dipendenti.

Non puoi saltare la valutazione di impatto sulla privacy. Copilot è un trattamento sistematico su larga scala: la valutazione è quasi sempre dovuta.

Non puoi non formare i dipendenti. Devono sapere che Copilot "vede" tutto quello che hanno in OneDrive personale aziendale. Se ci tengono cose che non dovevano starci, è il momento di rimuoverle.

Cosa invece si può fare bene

Sei step prima di accendere il sistema, in ordine.

Primo: audit dei permessi. Lista dei file accessibili a tutta l'azienda, lista dei gruppi "tutti", lista delle cartelle HR e finanziarie. Microsoft ha strumenti dedicati che ti tirano fuori questi report in mezza giornata.

Secondo: etichette di riservatezza. Sui documenti veri sensibili (cedolini, contratti, candidature, sanitari aziendali) metti l'etichetta che dice a Copilot "non toccare".

Terzo: politiche di blocco. Imposti regole che dicono al sistema di non leggere certe categorie di dati, indipendentemente dai permessi.

Quarto: pilota controllato. Dieci utenti, due mesi, raccogli avvisi e anomalie. Se in due mesi non scopri niente, sei pronto per allargare.

Quinto: valutazione di impatto sulla privacy. La fai scrivere bene, con scopi, base giuridica e misure tecniche. Sono dieci pagine, non duecento.

Sesto: formazione. Trenta minuti, non un corso da quattro ore. I dipendenti devono capire che Copilot vede quello a cui hanno accesso, e devono fare pulizia di OneDrive personale aziendale.

I paletti che non si toccano

Microsoft dichiara di non addestrare i suoi modelli sui tuoi dati. E di tenere il trattamento in Europa per i clienti UE. Tutto vero. Ma non risolve il problema interno. Se hai lasciato i cedolini accessibili a tutti, Copilot ne approfitta lo stesso.

Per studi medici, legali o fiscali con dati ultra-sensibili, anche Copilot isolato resta cloud Microsoft. Se la sovranità dei dati ti serve piena, valuta un sistema IA su server europeo con accesso controllato ai documenti tramite collegamenti interni. Più lavoro di setup, più controllo per sempre.

Una nota personale

Io di mestiere monto sistemi IA privati per PMI italiane. Sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) si parla ogni giorno di Copilot, sicurezza, casi reali. E si risponde gratis.

L'audit dei permessi, intanto, mettilo in agenda già per la prossima settimana. Tre giorni di lavoro adesso, in casa, oppure tre settimane di consulenza esterna dopo l'incidente che salta fuori. Scegli tu.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza