Microsoft avvisa su vulnerabilità critica che espone i dati in Copilot

Bug in Copilot Chat espone email riservate nelle aziende Microsoft 365

Dal 21 gennaio 2025, l’assistente AI Copilot Chat integrato in Microsoft 365 sta processando e riassumendo email etichettate come riservate, ignorando le policy di prevenzione della perdita di dati (DLP) configurate dalle aziende. Microsoft ha confermato il bug, identificato come CW1226324, che colpisce la scheda work tab di Copilot Chat e impatta ambienti enterprise in tutto il mondo. Le email coinvolte risiedono nelle cartelle Posta inviata e Bozze, comprese quelle protette da etichette di sensibilità progettate per bloccare accessi automatizzati. L’errore nasce da un difetto nel codice dell’applicazione e ha imposto a Microsoft l’avvio di un rollout correttivo a febbraio 2025, ancora in fase di monitoraggio. L’incidente solleva interrogativi critici sulla solidità dei controlli di sicurezza applicati dall’azienda ai propri strumenti di intelligenza artificiale generativa.

In sintesi:

• Bug CW1226324 in Copilot Chat ignora etichette di sensibilità e policy DLP.
• Email riservate in Posta inviata e Bozze vengono riassunte dall’AI senza autorizzazione.
• Microsoft ha avviato una patch, ma il rollout è ancora sotto monitoraggio.
• Incidente classificato come advisory, con impatto reale ancora non quantificato.

Come il bug di Copilot Chat aggira le difese DLP aziendali

La conferma ufficiale da Redmond arriva tramite un alert di servizio, visionato da BleepingComputer, che descrive in modo esplicito il malfunzionamento: “I messaggi email degli utenti con etichetta di riservatezza applicata vengono processati in modo errato da Microsoft 365 Copilot chat. La funzione Chat nella scheda ‘work’ di Microsoft 365 Copilot sta riassumendo messaggi email nonostante su questi messaggi sia applicata un’etichetta di sensibilità e sia configurata una policy DLP”.

Un errore nel codice consente agli elementi presenti nelle cartelle Posta inviata e Bozze di essere elaborati da Copilot anche se protetti da etichette di riservatezza, annullando di fatto i meccanismi di controllo che dovrebbero bloccare l’accesso automatizzato ai dati più sensibili. Microsoft ha riconosciuto che la radice del problema risiede nel codice dell’applicazione, senza però rilasciare dettagli tecnici granulari utili alle funzioni di sicurezza interna delle aziende.

La distribuzione della patch è iniziata nei primi giorni di febbraio 2025, con l’azienda impegnata a monitorare attivamente l’efficacia della correzione e a contattare un sottoinsieme di clienti per verifiche mirate. Non è stato divulgato il numero di tenant o utenti colpiti; Microsoft ha solo precisato che la valutazione dell’impatto rimane “dinamica” e potrà cambiare con il progredire dell’indagine. Nonostante la classificazione come semplice advisory, la natura dei dati potenzialmente esposti – email riservate interne – colloca l’incidente in una fascia di rischio elevata per compliance, reputazione e sicurezza legale delle organizzazioni enterprise.

Implicazioni per la sicurezza AI e prossimi passi per le aziende

L’episodio evidenzia i limiti di maturità dei controlli di sicurezza sugli assistenti AI integrati nei workflow critici. Quando strumenti come Microsoft 365 Copilot accedono a grandi volumi di dati aziendali per generare riassunti e analisi, qualsiasi eccezione nei filtri DLP può trasformarsi in una finestra di esposizione non tracciata. Per ora non esiste una timeline definitiva per la completa risoluzione e per la disponibilità di strumenti di audit granulari sugli accessi AI alle singole email.

Le organizzazioni dovrebbero valutare temporaneamente la limitazione dell’uso della work tab di Copilot Chat per i profili ad alta esposizione, riesaminare le policy di etichettatura delle email nelle cartelle Posta inviata e Bozze e documentare l’incidente in ottica di compliance. L’assenza di log dettagliati sugli accessi AI impone inoltre di considerare controlli compensativi, come revisioni periodiche delle configurazioni di sicurezza e una governance più stringente sui progetti pilota di intelligenza artificiale generativa.

FAQ

Che cos’è il bug CW1226324 di Microsoft 365 Copilot Chat?

Si tratta di un malfunzionamento della work tab di Copilot Chat che elabora e riassume email riservate, ignorando etichette di sensibilità e policy DLP aziendali.

Quali email vengono processate in modo improprio da Copilot Chat?

Vengono processati messaggi nelle cartelle Posta inviata e Bozze, inclusi quelli con etichette di riservatezza specifiche che dovrebbero bloccare accessi automatizzati.

Come possono reagire subito le aziende che usano Microsoft 365 Copilot?

È consigliabile limitare temporaneamente l’uso della work tab, riesaminare le policy DLP e documentare l’incidente ai fini di compliance e risk management interno.

Il bug di Copilot è già stato completamente risolto da Microsoft?

Non ancora in modo definitivo: Microsoft ha avviato il rollout di una patch e sta monitorando l’efficacia, senza fornire una data di chiusura certa.

Qual è la fonte che ha rivelato l’alert di servizio Microsoft?

L’alert sul bug di Microsoft 365 Copilot è stato reso noto dal sito specializzato BleepingComputer, che ha visionato direttamente la comunicazione di servizio.

Redazione Assodigitale

La Redazione di Assodigitale Phd, MBA, CPA

About the Author Latest Posts

Il team editoriale di Assodigitale coordina la pubblicazione di notizie, analisi e approfondimenti quotidiani dal mondo dell'innovazione, della tecnologia e dei mercati digitali.

Questo account raccoglie i contributi storici della testata, i comunicati stampa certificati e le inchieste collettive curate dai nostri giornalisti e analisti.

Fondata per esplorare l'impatto della trasformazione digitale sulla società e sull'economia, la Redazione di Assodigitale si impegna a fornire un'informazione accurata, indipendente e verificata, seguendo rigorosi standard deontologici e di fact-checking per garantire ai lettori una visione chiara ed esperta del futuro tecnologico."

Per tutte le vostre esigenze editoriali e per proporci progetti speciali di Branded Content oppure per inviare alla redazione prodotti per recensioni e prove tecniche potete contattarci direttamente scrivendo alla redazione : CLICCA QUI

Areas of Expertise: Digital Marketing, SEO, Content Strategy, Crypto, Blockchain, Fintech, Finance, Web3, Metaverse, Digital Content, Journalism, Branded Content, Digital Transformation, AI Strategy, Digital Publishing, DeFi, Tokenomics, Growth Hacking, Online Reputation Management, Emerging Tech Trends, Business Development, Media Relations, Editorial Management.

• Microsoft avvisa su vulnerabilità critica che espone i dati in Copilot 18 Febbraio 2026
• Crans-Montana avvia i rimpatri dei feriti ustionati ricoverati all’estero 18 Febbraio 2026
• Pensioni di vecchiaia, nuovi requisiti permettono l’uscita ai nati nel 1960 18 Febbraio 2026
• Pensione, quanto incide sull’ultimo stipendio e sui futuri assegni 18 Febbraio 2026
• India accelera sull’intelligenza artificiale con maxi investimenti e piani Adani 18 Febbraio 2026

redazione@assodigitale.it

Facebook Twitter LinkedIn Instagram YouTube

Fact Checked & Editorial Guidelines

Our Fact Checking Process

We prioritize accuracy and integrity in our content. Here's how we maintain high standards:

1. Expert Review: All articles are reviewed by subject matter experts.
2. Source Validation: Information is backed by credible, up-to-date sources.
3. Transparency: We clearly cite references and disclose potential conflicts.

Reviewed by: Subject Matter Experts

Our Review Board

Our content is carefully reviewed by experienced professionals to ensure accuracy and relevance.

• Qualified Experts: Each article is assessed by specialists with field-specific knowledge.
• Up-to-date Insights: We incorporate the latest research, trends, and standards.
• Commitment to Quality: Reviewers ensure clarity, correctness, and completeness.

Look for the expert-reviewed label to read content you can trust.