Reti S.p.A. Connecting technology people and ideas - Blog

Proteggere i dati sensibili nell'era degli Agenti AI con Microsoft Purview

Scritto da admin | May 25, 2026 1:24:34 PM

Microsoft Purview: cos'è e come funziona

Microsoft Purview è la piattaforma Microsoft dedicata alla governance dei dati, alla conformità normativa e alla protezione delle informazioni. Non si tratta di un singolo prodotto, ma di un ecosistema integrato che copre tre aree fondamentali:

  • Data Security Posture Management (DSPM): consente di scoprire, classificare e mappare i dati sensibili distribuiti nell'intero ambiente Microsoft 365, identificando dove si trovano le informazioni critiche e chi vi accede. Il DSPM è il punto di partenza: non si può proteggere ciò che non si vede.
  • Information Rights Management (IRM): applica policy di protezione direttamente ai documenti e ai dati, indipendentemente da dove vengano condivisi. Un file protetto con IRM mantiene i controlli di accesso anche se inviato via e-mail o scaricato su un dispositivo esterno.
  • Data Loss Prevention (DLP): impedisce la condivisione involontaria o intenzionale di dati sensibili attraverso canali non autorizzati. In un ambiente Copilot, il DLP interviene attivamente nelle conversazioni, bloccando le risposte che potrebbero esporre informazioni riservate.

Insieme, questi tre livelli formano quello che Microsoft definisce una strategia "secure by design": la sicurezza non è un filtro aggiunto a posteriori, ma è integrata nel momento in cui i dati vengono creati, classificati e condivisi.

Il rischio concreto: cosa “vede” Copilot

Uno degli aspetti meno compresi dell'adozione di Microsoft 365 Copilot riguarda i permessi di accesso. Copilot accede a tutto ciò che un utente può vedere. Se un dipendente ha accesso a una cartella SharePoint con contratti riservati, dati di fusioni aziendali o informazioni private dei dipendenti, Copilot può recuperare e sintetizzare quei contenuti nelle sue risposte, anche in modo involontario.

Senza una classificazione preventiva dei dati e senza policy DLP attive, Copilot diventa un potente amplificatore di esposizione. La shadow AI, ovvero l'uso di strumenti AI non autorizzati dall’azienda da parte dei dipendenti, aggiunge un ulteriore livello di rischio: i dati vengono caricati su piattaforme esterne, spesso senza alcun controllo.

Un caso emblematico riguarda scenari di fusione e acquisizione (M&A): durante operazioni riservate, i dipendenti coinvolti hanno accesso a informazioni altamente sensibili. Se questi dati non sono classificati e protetti, un Agente AI può esporli in pochi secondi. Microsoft Purview, attraverso la combinazione di DSPM, IRM e DLP, è il meccanismo che impedisce questo tipo di incidente.

Agenti AI sotto controllo: la risposta di Microsoft Purview a Agent 365

Durante il Microsoft AI Tour 2026, Judson Althoff, Direttore commerciale di Microsoft, ha annunciato Agent 365, una piattaforma per la gestione centralizzata degli Agenti AI aziendali. In soli due mesi nel registro di Agent 365 sono apparse decine di milioni di Agenti.

Con questa proliferazione di AI Agent, la domanda è spontanea: chi controlla cosa fanno gli Agenti? A differenza degli utenti umani, gli Agenti operano in modo autonomo, spesso concatenando più azioni in sequenza. Un Agente compromesso da una tecnica di prompt injection, ovvero un attacco in cui istruzioni malevole vengono nascoste nel contenuto elaborato dall'Agente, può estrarre e trasmettere dati sensibili senza che nessuno se ne accorga.

Microsoft Purview risponde a questa sfida estendendo le proprie policy anche agli Agenti AI: classifica i dati a cui accedono, applica i controlli DLP alle loro risposte e rileva tentativi di prompt injection in tempo reale, avvisando gli amministratori di sistema.

Microsoft Purview e la governance dei dati: una strategia in tre passi 

Adottare un approccio strutturato alla protezione delle informazioni in un ambiente AI non richiede di ripartire da zero. Purview segue una logica progressiva e ben strutturata:

  1. Visibilità: prima di proteggere, bisogna sapere dove sono i dati. DSPM mappa automaticamente le informazioni sensibili nell'ambiente Microsoft 365, identificando file non classificati, dati esposti e accessi anomali.
  2. Classificazione: e-mail, documenti e file vengono etichettati in base al livello di sensibilità (pubblico, interno, riservato, altamente riservato). Questa classificazione guida automaticamente le policy di protezione.
  3. Protezione attiva: DLP e IRM entrano in gioco in tempo reale, bloccando condivisioni non autorizzate, proteggendo i documenti anche fuori dal perimetro aziendale e monitorando il comportamento degli Agenti AI.

Il quadro normativo: perché la governance non è opzionale

L'Italia subisce il 10% degli attacchi informatici mondiali pur rappresentando solo l'1,8% del PIL globale.4 In questo contesto, la normativa europea, dal GDPR alla direttiva NIS2, fino all'AI Act, impone alle organizzazioni requisiti sempre più stringenti in materia di protezione dei dati e tracciabilità e controllo dei sistemi AI.

Microsoft Purview supporta la conformità normativa in modo nativo: registra le attività di accesso ai dati, genera report di audit e supporta le organizzazioni a dimostrare che i propri sistemi AI operano entro i confini definiti dalle policy aziendali e dalle normative vigenti.

Fare AI senza governance è come guidare senza cintura di sicurezza. Questa analogia cattura con precisione la situazione attuale: non si tratta di rinunciare all'AI, ma di adottarla con le protezioni necessarie.

Dalla teoria alla pratica: Purview in azione

L’aspetto centrale non è capire perché serve Microsoft Purview, ma come implementarlo in modo efficace in un ambiente già in uso. La buona notizia è che Purview si integra nativamente con Microsoft 365, Teams, SharePoint, Exchange e ovviamente con Copilot e Agent 365.

Una roadmap di adozione tipica prevede:

  1. Avvio del DSPM per ottenere una fotografia dello stato attuale dei dati.
  2. Definizione delle etichette di sensibilità in base alle esigenze dell'organizzazione.
  3. Attivazione delle policy DLP per i canali più critici (e-mail, Teams, SharePoint…).
  4. Estensione dei controlli agli Agenti AI tramite Agent 365.
  5. Monitoraggio continuo e revisione periodica delle policy.

Vuoi approfondire come implementare Microsoft Purview nella tua organizzazione? Il 16 giugno abbiamo organizzato l’evento “Secure by design, optimized by Purview”, ISCRIVITI ORA AL WEBINAR!

Microsoft mette a disposizione una guida pratica su Microsoft Purview: dalla classificazione dei dati alla configurazione delle policy DLP, fino alla governance degli Agenti AI. Scaricala ora gratuitamente cliccando qui sotto.

 

  1. Fonte: Zscaler ThreatLabz 2025 Report
  2. Fonte: Concentric 2H 2025 Data Risk Report
  3. Fonte: Fortinet - 2025 Data Security Report
  4. Fonte: Rapporto Clusit 2026
Visualizza articolo completo