Il 18 febbraio 2026 Microsoft ha confermato la presenza di un bug che ha permesso al modulo Copilot Chat di Microsoft 365 di accedere e sintetizzare contenuti di email riservate etichettate come “confidenziali”, in violazione delle policy di Data Loss Prevention (DLP). L’anomalia, tracciata con il codice interno CW1226324, ha interessato bozze e messaggi inviati, nonostante le impostazioni di protezione attive. La falla è stata introdotta a gennaio e solo all’inizio di febbraio è iniziato il rollout della correzione. Microsoft non ha tuttavia indicato quanti clienti siano stati effettivamente coinvolti.
Dettagli tecnici del bug
Secondo quanto emerso, la falla era presente in Copilot Chat, l’assistente basato su AI integrato in Word, Excel, PowerPoint e Outlook. Anche quando i clienti configuravano policy DLP per impedire l’utilizzo di contenuti sensibili nei modelli linguistici, Copilot li ha processati ignorando le restrizioni imposte. Il codice CW1226324 è usato per tracciare l’anomalia che ha comportato la lettura e il sommario di email etichettate come confidenziali. La correzione è iniziata il mese scorso, ma i dettagli sui clienti coinvolti restano riservati e Microsoft non ha fornito dichiarazioni aggiuntive sul numero di utenti affetti.
Un fenomeno ricorrente: EchoLeak e altre minacce AI
Questo incidente si inserisce in una serie di vulnerabilità legate all’uso di AI in ambienti aziendali. Nel giugno 2025 era stata scoperta una falla chiamata “EchoLeak”, una vulnerabilità zero-click in Microsoft 365 Copilot che consentiva l’esfiltrazione automatica di dati sensibili — email, documenti, chat — senza alcuna azione da parte dell’utente. Il bug, tracciato come CVE‑2025‑32711 e con punteggio CVSS 9.3, è stato mitigato da Microsoft poco dopo la segnalazione. Le falle mostravano la capacità di bypassare sistemi come XPIA, link redaction o policy CSP, e sfruttavano tecniche avanzate come Markdown invisibili, richieste automatiche di immagini e proxy Microsoft Teams.
Fortunatamente, non risultano casi reali di compromissione, ma l’episodio ha evidenziato nuovi rischi nei modelli AI integrati nei workflow aziendali.
Implicazioni per la governance dell’AI aziendale
L’incidente delle email confidenziali riassunte da Copilot evidenzia come le policy di protezione dati possano essere inefficaci di fronte a sistemi AI con meccanismi interni non trasparenti. La problematica richiama l’esigenza di rafforzare le strategie di governance dell’AI: è necessario monitorare e validare i flussi di dati, implementare controlli di audit e tracciamento avanzati, e prevedere revisioni delle interazioni AI all’interno dei flussi aziendali. Inoltre, contenuti sensibili vanno isolati o esclusi dai modelli RAG (Retrieval-Augmented Generation) tramite politiche DLP attive e affidabili.
Strategie per mitigare rischi simili
Le organizzazioni devono agire su più fronti. In primo luogo, implementare contesti AI con meccanismi di scoping rigidi: gli assistenti AI non devono accedere a informazioni etichettate come confidenziali o soggette a restrizioni. In secondo luogo, adottare monitoraggio continuo e alert automatizzati in presenza di comportamenti anomali o di accessi inusuali. Terzo, promuovere test di sicurezza su percorsi RAG e policy DLP specifiche per AI, simulando scenari di phishing, injection o bypass automatizzati. Infine, mantenere aggiornate le integrazioni AI, applicando patch e revisioni non appena disponibili.
Prospettive e adattamento del paradigma di sicurezza
Se l’AI porta efficienza e produttività nei flussi documentali e conversazionali, crea anche superfici di rischio complesse. Le imprese non possono più dipendere da filtri statici o policy generiche: servono strutture di difesa contestuali, intelligenti e reattive. Questo significa integrare nel ciclo di vita dell’AI una visione multidimensionale del rischio — tecnico, comportamentale e infrastrutturale — e tessere policy di protezione basate su principi come *least privilege*, visibilità completa e controllo attivo.
L’incidente con Copilot chiarisce che l’AI è solo sicura quanto i controlli progettati per contenerla: il rischio non è solo nei bug, ma nei modelli mentali sottostanti alla governance dell’AI.
