Microsoft 365 Copilot è lo strumento di intelligenza artificiale più adottato negli ambienti aziendali europei. Integrato nell’ecosistema M365, accede in tempo reale a email, documenti, conversazioni Teams e dati di calendario tramite Microsoft Graph. Il 7 aprile 2026, mentre le organizzazioni europee erano impegnate a valutarne la compliance, Microsoft ha annunciato l’introduzione del flex routing — una funzionalità che consente di instradare l’elaborazione dei prompt al di fuori dell’Unione Europea durante i picchi di utilizzo. E lo ha fatto attivandola per impostazione predefinita.
Cosa prevede il flex routing
La comunicazione è arrivata tramite il post MC1269223 del Message Center di Microsoft. A partire dal 17 aprile 2026, il flex routing sarebbe stato abilitato automaticamente per tutti i tenant europei idonei — con onere per gli amministratori di disabilitarlo attivamente se non lo ritenevano appropriato. Per i tenant creati dopo il 25 marzo 2026, la funzionalità sarebbe stata abilitata direttamente alla creazione. In altri termini: un sistema opt-out.
Il meccanismo è tecnicamente descritto da Microsoft come sicuro. I dati restano cifrati in transito e a riposo, i dati a riposo rimangono in territorio europeo, e i dati trasferiti fuori dall’UE per esigenze operative vengono pseudonimizzati. Ma la sicurezza tecnica non esaurisce la questione giuridica. Nel momento dell’inferenza — cioè quando Copilot elabora un prompt — il trattamento avviene fuori dall’Unione Europea. E quel prompt include non solo la richiesta dell’utente, ma anche i dati aziendali e i file condivisi necessari a generare la risposta.
La frizione con il GDPR
Il GDPR non si limita a disciplinare dove i dati sono conservati. Regola ogni operazione di trattamento, inclusa l’elaborazione temporanea. Un trasferimento verso paesi terzi — anche se limitato alla fase di inferenza — richiede una base giuridica adeguata ai sensi degli articoli 44 e seguenti del Regolamento. Un sistema opt-out significa che le organizzazioni che non avessero rilevato la comunicazione nel Message Center si sarebbero ritrovate a trasferire dati fuori dall’UE senza averlo valutato e senza una base giuridica consapevolmente identificata. Non è un’ipotesi teorica: è la realtà operativa della maggior parte delle organizzazioni, dove il Message Center non viene monitorato sistematicamente da chi è responsabile della gestione privacy.
Il principio di privacy by design, sancito dall’art. 25 del GDPR, impone che le impostazioni predefinite dei sistemi che trattano dati personali garantiscano il livello più elevato di protezione. Un default che sposta il trattamento fuori dall’EU senza una valutazione consapevole del titolare va nella direzione opposta — e non è sanabile dal fatto che la funzionalità sia tecnicamente sicura o che Microsoft la documenti in modo trasparente. Trasparenza e conformità non sono la stessa cosa.
Le implicazioni per i vostri sistemi
Per le organizzazioni che hanno adottato Copilot a seguito della formazione che abbiamo condotto insieme, la vicenda ha due implicazioni operative dirette.
La prima: le impostazioni predefinite di M365 e Copilot non sono statiche. Cambiano nel tempo tramite comunicazioni di servizio che non sempre raggiungono chi è responsabile della gestione privacy. Il monitoraggio del Message Center non è un’attività discrezionale — è un presidio necessario per mantenere la conformità nel tempo. Ogni modifica rilevante va valutata congiuntamente dall’amministratore IT, dal DPO e dal titolare del trattamento prima che entri in vigore.
La seconda: la responsabilità della compliance rimane in capo al titolare. Microsoft può cambiare le impostazioni predefinite dei propri servizi — e lo fa. Delegare la verifica di queste modifiche al solo reparto IT, senza un processo strutturato di governance, espone l’organizzazione a rischi che non dipendono da negligenza ma da una catena di responsabilità non presidiata.
Aggiornamento
Secondo quanto riportato da ITdaily, che cita una conferma diretta di Microsoft alla redazione olandese di Tweakers, Microsoft ha parzialmente invertito la propria posizione: il flex routing per i tenant europei passerà da sistema opt-out a sistema opt-in. Per impostazione predefinita, i dati degli utenti europei resteranno elaborati in territorio UE. La correzione è positiva — ma arriva dopo che il problema era già stato sollevato pubblicamente. Il punto rimane: un opt-out di questo tipo non avrebbe dovuto essere progettato.
Fonti: Microsoft Message Center (MC1269223, MC1269219); ITdaily/Tweakers, aprile 2026; office365itpros.com; Reg. UE 2016/679 (GDPR), artt. 25 e 44 ss.
