La promessa di Microsoft di «sovranità dei dati» per l’Europa ha un asterisco. A partire dal 17 aprile 2026, l’azienda inizierà a inviare i dati di Copilot a server esteri per l’elaborazione.
Con l’introduzione del flex routing per Microsoft 365 Copilot, l’inferenza del modello linguistico di grandi dimensioni (LLM) — la fase in cui i tuoi dati vengono effettivamente elaborati — potrebbe avvenire negli Stati Uniti, in Canada o in Australia quando la capacità dei data center europei non è sufficiente.
Queste modifiche vengono applicate per impostazione predefinita. Per i nuovi account cliente creati dopo il 25 marzo 2026, il flex routing è già attivo. Per tutti gli altri, verrà attivato automaticamente a meno che tu non lo disattivi. (Qui sotto trovi le istruzioni per farlo.)
Se la tua azienda ha sede nell’Unione europea o nell’Associazione europea di libero scambio (EFTA), questo non è un piccolo aggiornamento tecnico. Il flex routing determina se i tuoi flussi di lavoro di IA restano nell’UE o ne escono senza che tu lo sappia. E mette in evidenza cosa significa davvero per l’Europa la versione di Big Tech della sovranità digitale: il controllo resta comunque nelle loro mani.
Cos’è il flex routing?
L’inferenza è il momento in cui un modello di IA elabora il tuo prompt per generare una risposta, che si tratti di riassumere un documento, rispondere a una domanda o creare una bozza di contenuto. Quando questo avviene, i tuoi dati sono già stati raccolti. Anche se i tuoi dati sono archiviati in Europa, ora potrebbero essere elaborati altrove — automaticamente, sotto una giurisdizione non UE.
Ospitato nell’UE non significa elaborato nell’UE
Microsoft chiarisce che i dati resteranno crittografati(nuova finestra) durante il transito e nell’archiviazione. Questo potrebbe rassicurare alcuni clienti. Ma se operi nel quadro di normative come il Regolamento generale sulla protezione dei dati(nuova finestra) (GDPR), la direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS2) o il regolamento sulla resilienza operativa digitale (DORA), proteggere i dati nell’archiviazione e nella trasmissione non basta.
L’elaborazione (o inferenza) è il punto in cui può verificarsi l’esposizione. E con il flex routing, quel punto ora può spostarsi.
Per consentire a un modello di IA di eseguire l’inferenza, i dati devono essere resi accessibili per il calcolo. I tuoi prompt, le tue email, i tuoi file e i tuoi metadati vengono raccolti e inviati al modello. Con il flex routing, questo insieme di dati può essere elaborato al di fuori dell’UE.
Conta dove vengono elaborati i tuoi dati — anche se sono crittografati sia in entrata che in uscita.
L’onere della conformità ricade su di te
La decisione di Microsoft di rendere il flex routing una funzionalità predefinita è un campanello d’allarme. Le ricerche mostrano che la maggior parte delle persone non si prende la briga di controllare le impostazioni predefinite o di aggiornarle. Se la sovranità dei dati fosse davvero importante per l’azienda e per i suoi clienti europei, non avrebbe implementato automaticamente il flex routing.
Mette inoltre in allerta il tuo reparto compliance sul fatto che i fornitori possono decidere all’improvviso di modificare una policy importante. Ora sei responsabile di monitorare gli aggiornamenti dei fornitori, interpretarne le implicazioni e adeguare le impostazioni per restare conforme. Può sembrare ingiusto se hai selezionato un fornitore con sede negli Stati Uniti pensando che la sovranità dei tuoi dati fosse importante anche per lui.
Cosa possono fare ora le aziende dell’UE
- Disattiva il flex routing. Se le tue policy richiedono un’elaborazione solo nell’UE, non fare affidamento sulle impostazioni predefinite.
- Accedi al centro di amministrazione di Microsoft 365 come amministratore a cui è stato assegnato il ruolo di amministratore IA(nuova finestra).
- Vai a Copilot -> Impostazioni -> Inferenza flessibile durante i periodi di picco del carico.
- Seleziona Non consentire il flex routing
- Comprendi le implicazioni transfrontaliere. La tua configurazione attuale potrebbe non soddisfare i requisiti della tua azienda. Considera:
- Obblighi di trasferimento dei dati ai sensi del GDPR e delle norme specifiche di settore
- Policy interne sulla localizzazione dei dati e impegni contrattuali
- Possibilità di accesso legale e supervisione nelle giurisdizioni extra-UE
- Verifica attentamente i flussi di dati specifici dell’IA. La maggior parte delle aziende sa dove sono archiviati i dati. Meno aziende sanno dove vengono elaborati. Inizia a porti queste domande:
- Dove vengono elaborati i tuoi dati
- Se esistono leggi che possono imporre la divulgazione dei dati a terze parti
- Chi può accedere ai dati durante l’elaborazione e se questo può cambiare
- Scegli fornitori che siano trasparenti su come elaborano i tuoi dati. L’assistente di IA(nuova finestra) di Proton elabora i dati esclusivamente su server europei e pubblica una descrizione dettagliata del suo modello di sicurezza.
Il flex routing rivela qualcosa di più profondo sulla governance dei dati
Se i tuoi fornitori hanno sede negli Stati Uniti, ti stai affidando a sistemi costruiti per una realtà normativa diversa — una realtà che non controlli, ma a cui devi comunque rispondere.
Gli aggiornamenti software, il supporto, le policy legali e le decisioni sui prezzi vengono presi nella Silicon Valley o a Seattle. Le regole che il tuo fornitore segue vengono stabilite a Washington. Ma la tua azienda deve rispettare gli standard europei.
Per questo sempre più aziende stanno iniziando a guardare alle alternative europee alla Big Tech(nuova finestra). Quando la tua infrastruttura, le tue policy e il tuo quadro giuridico sono allineati con la regione in cui operi, la sovranità dei dati diventa realmente applicabile, non condizionata.
