Purview, DLP e Sensitivity Labels con Copilot: prevenire esposizioni indesiderate

Con la diffusione massiva di Microsoft 365 Copilot nelle organizzazioni, il rischio di esposizione indesiderata di informazioni sensibili è diventato una priorità concreta di governance. Questo articolo analizza come l’ecosistema Microsoft Purview — attraverso Data Loss Prevention (DLP), sensitivity labels e l’emergente AI Hub — offra un insieme coordinato di controlli per prevenire l’oversharing di dati riservati nei flussi conversazionali AI. Integro l’analisi tecnica con la letteratura scientifica più recente su prompt injection, shadow AI e data exfiltration negli LLM enterprise. I dati suggeriscono che la protezione non è garantita dalla sola implementazione tecnica: richiede una strategia olistica che comprenda tassonomia dei dati, policy DLP mirate, etichettatura automatica e cultura della sicurezza. La vera sfida non è tecnica, ma umana.

1. Introduzione

L’altro giorno, mentre lavoravo su un progetto di deployment di Microsoft 365 Copilot per un cliente mid-enterprise, mi sono trovato di fronte a una domanda che mi ha bloccato per qualche minuto: “Sei sicuro che Copilot non tirerà fuori il contratto NDA che abbiamo con il fornitore tedesco quando un commerciale fa una ricerca sul prodotto?”

Domanda legittima. Anzi, domanda eccellente.

In trent’anni di carriera IT — dai modem a 2400 baud ai moderni tenant Azure con decine di workload AI attivi — ho imparato che la sicurezza non si improvvisa e che ogni nuova tecnologia porta con sé vettori di rischio inattesi. I Copilot non fanno eccezione. Anzi, amplificano i rischi già presenti: oversharing, accessi eccessivi, permessi lasciati aperti “per comodità”. Quello che prima era un problema silente in SharePoint diventa un problema rumoroso e visibile quando un assistente AI comincia a citare documenti che nessuno sapeva fossero accessibili.

In questo articolo voglio raccontare come funziona concretamente la triade Purview + DLP + Sensitivity Labels per proteggere le interazioni con Microsoft 365 Copilot, cosa dicono le ricerche più recenti sulle vulnerabilità degli LLM enterprise, e soprattutto cosa fa davvero la differenza sul campo.

2. Background: il problema dell’oversharing nell’era dei Copilot

2.1 Perché i Copilot cambiano le regole del gioco

I sistemi AI generativi non sono semplici motori di ricerca. Ragionano sui contenuti, li sintetizzano, li combinano. Questo significa che un documento con permessi “aperti a tutti” che prima giaceva silente in un sito SharePoint dimenticato, ora può diventare la base di una risposta dettagliata a una domanda apparentemente innocua. Il volume di dati inviati alle app GenAI è aumentato di oltre 30 volte nell’ultimo anno, moltiplicando le opportunità di esposizione di dati sensibili, in particolare codice sorgente, dati regolamentati, proprietà intellettuale e credenziali. [netskope.com]

Secondo il report Menlo Security del 2025, il 57% dei dipendenti inserisce dati sensibili nelle app AI. In un solo mese sono stati registrati 155.005 eventi di copia e 313.120 eventi di incolla verso app GenAI, dimostrando come gli utenti — spesso ignari dei rischi — espongano inavvertitamente informazioni aziendali riservate. [menlosecurity.com]

La situazione è aggravata dalla cosiddetta shadow AI: il 72% dell’utilizzo di GenAI in azienda avviene tramite shadow IT, con utenti che accedono alle app AI con account personali. [netskope.com]

2.2 Il problema non è solo esterno: la surface di attacco interna

Nella mia esperienza sul campo, il problema più insidioso non è l’attaccante esterno, ma la configurazione permissiva interna. Copilot opera nel security context dell’utente che lancia il prompt: se quell’utente ha accesso a 50.000 documenti — perché nel tempo nessuno ha mai ristretto i permessi — Copilot potenzialmente cita tutti e 50.000.

I ricercatori hanno analizzato vulnerabilità nei sistemi GenAI, le minacce che affrontano e le ripercussioni del monitoraggio AI sul posto di lavoro, esaminando vettori di attacco come gli attacchi al modello e i cyberattacchi automatizzati, capaci di minare integrità dei dati e privacy. [sciencedirect.com]

A questo si aggiungono le vulnerabilità architetturali degli LLM: OWASP identifica il prompt injection come LLM01:2025, la principale vulnerabilità di sicurezza per le applicazioni LLM, riconoscendo che si tratta di una vulnerabilità architettonica fondamentale piuttosto che di un difetto implementativo. [mdpi.com]

3. Analisi Scientifica: dalla teoria alla realtà produttiva

3.1 EchoLeak: quando il rischio diventa concreto

Cosa rende il prompt injection un rischio concreto per gli LLM enterprise?

La risposta più nitida che ho trovato in letteratura recente viene da un paper pubblicato a settembre 2025 al simposio AAAI. EchoLeak (CVE-2025-32711) è la prima exploit di prompt injection zero-click in un sistema LLM in produzione: ha consentito l’esfiltrazione remota di dati da Microsoft 365 Copilot tramite una singola email artefatta, concatenando bypass multipli — evasione del classificatore XPIA di Microsoft, aggiramento della redazione dei link con Markdown reference-style, sfruttamento di immagini auto-fetchate e abuso di un proxy Microsoft Teams consentito dalla content security policy — ottenendo un’escalation completa di privilegi attraverso i trust boundary LLM senza interazione dell’utente. [arxiv.org]

Il paper è prezioso non solo per l’exploit in sé — che Microsoft ha già patchato — ma per le lezioni architetturali che fornisce: gli autori delineano un insieme di mitigazioni ingegneristiche tra cui prompt partitioning, filtri input/output potenziati, controllo degli accessi basato sulla provenienza e policy di content security rigorose, enfatizzando il principio del minimo privilegio, architetture di difesa in profondità e test avversariale continuo. [arxiv.org]

3.2 Il panorama degli attacchi: da casi isolati a kill chain complete

Il prompt injection, un tempo analizzato principalmente come un fallimento isolato di validazione dell’input, è stato dimostrato come una classe di attacco operativa. I ricercatori hanno documentato kill chain complete — accesso iniziale, persistenza, movimento laterale ed esfiltrazione dei dati — eseguite interamente attraverso input di testo artefatti verso agenti AI. [labs.cloud…liance.org]

La revisione sistematica di Gulyamov et al. (2026, MDPI Information) sintetizza ricerche dal 2023 al 2025 analizzando 45 fonti chiave. La ricerca dimostra che appena cinque documenti accuratamente artefatti possono manipolare le risposte AI nel 90% dei casi attraverso l’avvelenamento RAG (Retrieval-Augmented Generation). [mdpi.com]

Questo dato è particolarmente rilevante per chi usa Copilot in modalità connessa a SharePoint o Teams: ogni documento condiviso diventa potenzialmente un vettore di manipolazione se non opportunamente protetto.

3.3 Microsoft Purview DLP per Copilot: come funziona davvero

Cosa può fare concretamente DLP per proteggere le interazioni Copilot?

Microsoft Purview DLP può proteggere le interazioni con Microsoft 365 Copilot e Copilot Chat in due modi principali: 1) limitare Copilot e Copilot Chat dal processare prompt sensibili (in anteprima) — creando policy DLP per proteggere dall’uso di Sensitive Information Types (SIT) come numeri di carta di credito, passaporti o codici fiscali nei prompt; 2) limitare Copilot e Copilot Chat dal processare file ed email con sensitivity labels (generalmente disponibile). [learn.microsoft.com]

Il primo meccanismo è particolarmente potente: il controllo in tempo reale aiuta le organizzazioni a mitigare i rischi di data leakage e oversharing, impedendo a Copilot di restituire una risposta quando i prompt contengono dati sensibili e di utilizzare tali dati per le ricerche interne ed esterne. [learn.microsoft.com]

Il secondo meccanismo, già in GA, è invece orientato alla protezione dei contenuti già classificati: gli elementi identificati con sensitivity label appaiono ancora nelle citazioni della risposta, ma il loro contenuto non viene utilizzato nella risposta né viene acceduto da Copilot. [learn.microsoft.com]

3.4 Sensitivity Labels: il cuore della governance

Le sensitivity labels offrono una soluzione di labeling unica su app, servizi e dispositivi per proteggere i dati mentre viaggiano dentro e fuori l’organizzazione. Tra gli scenari supportati: gestione delle label nelle app Office, cifratura di documenti ed email, protezione di elementi del calendario, riunioni Teams e chat. [learn.microsoft.com]

In pratica, la label è il “contratto” tra il dato e il sistema: dice a Copilot cosa può e non può fare. Le sensitivity labels restringono come gli strumenti AI interagiscono con i contenuti etichettati: le label “Highly Confidential” possono impedire a Copilot di accedere o esporre i documenti etichettati; le label cifrate assicurano che l’AI non possa processare contenuti cifrati senza la decifrazione autorizzata; l’auto-labeling identifica dati sensibili (PII, PHI, dati finanziari) e applica le label prima che l’AI possa accedervi. [epcgroup.net]

Un aspetto che spesso trascuro nei progetti — e che mi ha già “morso” una volta — è l’ereditarietà delle label: i contenuti figli ereditano la label del contenitore. Se etichetti un sito SharePoint come “Confidential”, tutti i documenti dentro quel sito assumono la stessa classificazione ai fini Copilot. Strategia potente, ma da pianificare con cura.

3.5 Il nuovo AI Hub: visibilità centralizzata

Il Purview AI Hub (in anteprima nel 2026) fornisce visibilità centralizzata sull’utilizzo delle applicazioni AI in tutto Microsoft 365 e Azure, mostrando: quali applicazioni AI vengono usate, i livelli di sensibilità dei dati processati dall’AI, l’utilizzo AI per dipartimento e utente, le violazioni di policy relative alle interazioni AI, e raccomandazioni per il miglioramento della governance AI. [epcgroup.net]

Questo strumento risolve un problema che ho vissuto in prima persona: capire dove Copilot sta attingendo e quanto dati sensibili stanno effettivamente passando attraverso i prompt. Senza visibilità non c’è governance — è come cercare di guidare con gli occhi bendati.

4. Implicazioni Pratiche: quello che funziona sul campo

Cosa funziona davvero, e cosa no

Dopo aver distribuito queste soluzioni in diversi ambienti enterprise, ho consolidato alcune osservazioni pragmatiche:

✅ Cosa porta valore immediato:

  • La DLP per sensitivity labels (GA) è stabile e affidabile. Se la tassonomia delle label è sana, la protezione è concreta.
  • Il blocco dei SIT nei prompt (preview) è sorprendentemente efficace per i casi d’uso regolamentati: sanità, finance, PA.
  • L’auto-labeling riduce drasticamente il debito tecnico su archivi SharePoint storicamente non classificati.

⚠️ Attenzione ai limiti reali:

DLP non può scansionare i contenuti di file caricati direttamente nei prompt — valuta solo il testo digitato nel prompt stesso. Inoltre, la location “Microsoft 365 Copilot and Copilot Chat” non supporta le Admin units, e gli aggiornamenti alle policy DLP possono richiedere fino a quattro ore per riflettersi nell’esperienza Copilot. [learn.microsoft.com]

Il fronte normativo è un acceleratore:

Le disposizioni restanti del Regolamento europeo sull’AI entreranno in applicazione il 2 agosto 2026, con la maggior parte dei requisiti che si applicheranno da tale data. I fornitori di sistemi AI ad alto rischio devono garantire la conformità ai requisiti degli articoli 8–15 per tutto il ciclo di vita del sistema, inclusa la creazione di un sistema documentato di gestione del rischio e misure robuste di governance dei dati. [legalnodes.com]

Nella mia esperienza, le organizzazioni che hanno già implementato Purview DLP e sensitivity labels si trovano in una posizione di vantaggio strutturale: stanno già raccogliendo i log di audit, già classificando i dati, già limitando gli accessi — esattamente ciò che l’EU AI Act richiederà.

5. Conclusioni

La domanda del mio cliente — “Sei sicuro che Copilot non tirerà fuori il contratto NDA?” — è la domanda giusta. E la risposta onesta è: dipende da quanto bene hai fatto il tuo lavoro prima.

Purview, DLP e sensitivity labels non sono funzionalità che si attivano e si dimenticano. Sono una disciplina. Richiedono una tassonomia dei dati ragionata, una governance degli accessi curata nel tempo, policy DLP calibrate sul reale profilo di rischio dell’organizzazione, e — soprattutto — una cultura della sicurezza che coinvolga le persone, non solo i sistemi.

I dati suggeriscono che il rischio è reale, crescente, e già sfruttato attivamente. La tecnologia per mitigarlo esiste ed è matura. La vera sfida non è tecnica, ma umana: convincere le organizzazioni a investire nella governance prima che arrivi il problema, non dopo.

Riferimenti

  1. Reddy, P., & Gujral, A. S. (2025). EchoLeak: The First Real-World Zero-Click Prompt Injection Exploit in a Production LLM System. arXiv:2509.10540. AAAI Fall Symposium Series 2025. https://doi.org/10.48550/arXiv.2509.10540
  2. Gulyamov, S., Gulyamov, S., Rodionov, A., Khursanov, R., Mekhmonov, K., Babaev, D., & Rakhimjonov, A. (2026). Prompt Injection Attacks in Large Language Models and AI Agent Systems: A Comprehensive Review. Information, 17(1), 54. https://doi.org/10.3390/info17010054
  3. Netskope. (2025). Cloud and Threat Report: Generative AI 2025. Netskope Threat Research. https://www.netskope.com/resources/cloud-and-threat-reports/cloud-and-threat-report-generative-ai-2025
  4. Menlo Security. (2025, agosto). 2025 Report: How AI is Shaping the Modern Workspace. https://www.menlosecurity.com/press-releases/
  5. Microsoft. (2025–2026). Learn about using Microsoft Purview Data Loss Prevention to protect interactions with Microsoft 365 Copilot and Copilot Chat. Microsoft Learn. https://learn.microsoft.com/en-us/purview/dlp-microsoft365-copilot-location-learn-about
  6. Prystai, R. (2026, aprile). EU AI Act 2026 Updates: Compliance Requirements and Business Risks. LegalNodes. https://www.legalnodes.com/article/eu-ai-act-2026-updates-compliance-requirements-and-business-risks
  7. Cloud Security Alliance Labs. (2026, aprile). Promptware: When Prompt Injection Becomes C2. CSA Research Note. https://labs.cloudsecurityalliance.org/research/csa-research-note-promptware-c2-agent-exploitation-20260406/