Dati, privacy e sicurezza per Microsoft 365 Copilot

Microsoft 365 Copilot è un sofisticato motore di elaborazione e orchestrazione che offre funzionalità di produttività basate su intelligenza artificiale coordinando i componenti seguenti:

• Modelli linguistici di grandi dimensioni (Large Language Model, LLM)
• Contenuto di Microsoft Graph, come messaggi di posta elettronica, chat e documenti a cui si ha l'autorizzazione ad accedere.
• Le app di produttività di Microsoft 365 che utilizzi quotidianamente, come Word e PowerPoint.

Per una panoramica del funzionamento di questi tre componenti, vedi panoramica di Microsoft 365 Copilot. Per collegamenti ad altri contenuti correlati a Microsoft 365 Copilot, vedi documentazione di Microsoft 365 Copilot.

Importante

• Microsoft 365 Copilot è conforme agli impegni esistenti in materia di privacy, sicurezza e conformità per i clienti commerciali di Microsoft 365, tra cui il Regolamento generale sulla protezione dei dati (GDPR) e il Confine dei dati dell'Unione europea (UE).
• I prompt, le risposte e i dati a cui si accede tramite Microsoft Graph non vengono utilizzati per formare i LLM di fondazione, compresi quelli utilizzati da Microsoft 365 Copilot.
• Microsoft 365 Copilot opera con più protezioni, che includono, ad esempio, il blocco di contenuti dannosi, il rilevamento di materiale protetto e il blocco di prompt injection (attacchi jailbreak).

Le informazioni contenute in questo articolo intendono fornire una risposta alle seguenti domande:

• In che modo Microsoft 365 Copilot utilizza i dati organizzativi proprietari?
• In che modo Microsoft 365 Copilot protegge le informazioni e i dati dell'organizzazione?
• Quali dati vengono archiviati sulle interazioni degli utenti con Microsoft 365 Copilot?
• Quali sono gli impegni di residenza dei dati assunti da Microsoft 365 Copilot?
• Quali sono le opzioni di estendibilità disponibili per Microsoft 365 Copilot?
• In che modo Microsoft 365 Copilot soddisfa i requisiti di conformità della normativa?
• I controlli della privacy per le esperienze connesse di Microsoft 365 Apps si applicano a Microsoft 365 Copilot?
• Posso fidarmi dei contenuti creati da Microsoft 365 Copilot? Chi possiede quel contenuto?
• Quali sono gli impegni di Microsoft per un uso responsabile dell'IA?

Nota

Microsoft 365 Copilot continuerà a evolversi nel tempo con nuove funzionalità. Per mantenersi al corrente su Microsoft 365 Copilot o porre domande, visitare la community Microsoft 365 Copilot in Microsoft Tech Community.

In che modo Microsoft 365 Copilot utilizza i dati organizzativi proprietari?

Microsoft 365 Copilot fornisce un valore aggiunto collegando gli LLM ai dati dell'organizzazione. Microsoft 365 Copilot accede ai contenuti e al contesto attraverso Microsoft Graph. È in grado di generare risposte ancorate ai dati organizzativi, come i documenti degli utenti, i messaggi di posta elettronica, il calendario, le chat, le riunioni e i contatti. Microsoft 365 Copilot combina questi contenuti con il contesto lavorativo dell'utente, ad esempio la riunione a cui sta partecipando l'utente, gli scambi di e-mail avuti dall'utente su un argomento o le conversazioni in chat che l'utente ha avuto la settimana scorsa. Microsoft 365 Copilot utilizza questa combinazione di contenuti e contesto per fornire risposte accurate, pertinenti e contestuali.

Importante

I prompt, le risposte e i dati a cui si accede tramite Microsoft Graph non vengono utilizzati per formare i LLM di fondazione, compresi quelli utilizzati da Microsoft 365 Copilot.

Microsoft 365 Copilot visualizza solo i dati organizzativi per i quali i singoli utenti dispongono almeno di autorizzazioni di visualizzazione. È importante usare i modelli di autorizzazione disponibili nei servizi di Microsoft 365, ad esempio SharePoint, per garantire che gli utenti o i gruppi giusti abbiano il tipo di accesso opportuno al contenuto dell'organizzazione. Sono incluse le autorizzazioni concesse agli utenti esterni all'organizzazione tramite soluzioni di collaborazione tra tenant, ad esempio canali condivisi in Microsoft Teams.

Quando si inseriscono richieste usando Microsoft 365 Copilot, le informazioni contenute nelle richieste, i dati recuperati e le risposte generate rimangono all'interno del perimetro del servizio Microsoft 365, in conformità con gli attuali impegni di Microsoft in materia di privacy, sicurezza e conformità. Microsoft 365 Copilot usa servizi di Azure OpenAI per l'elaborazione, non servizi di OpenAI disponibili pubblicamente. Azure OpenAI non memorizza nella cache i contenuti dei clienti e le richieste modificate da Copilot per Microsoft 365 Copilot. Per altre informazioni, vedere la sezione Dati archiviati sulle interazioni degli utenti con Microsoft 365 Copilot più avanti in questo articolo.

Nota

• Quando si usano plug-in per aiutare Microsoft 365 Copilot a fornire informazioni più pertinenti, controllare l'informativa sulla privacy e le condizioni per l'utilizzo del plug-in per determinare come gestirà i dati dell'organizzazione. Per altre informazioni, vedere Estendibilità di Microsoft 365 Copilot.
• Quando si usa il plug-in di contenuti Web, Microsoft 365 Copilot analizza la richiesta dell'utente e identifica le condizioni in cui la ricerca Web migliorerebbe la qualità della risposta. In base a questi termini, Copilot genera una query di ricerca che invia al servizio Ricerca Microsoft Bing. Per altre informazioni vedere Dati, privacy e sicurezza per le query Web in Microsoft 365 Copilot e Microsoft Copilot.

Anche se il monitoraggio degli abusi, che include la revisione umana dei contenuti, è disponibile in Azure OpenAI, i servizi di Microsoft 365 Copilot lo rifiutano esplicitamente. Per informazioni sul filtro dei contenuti, vedere la sezione In che modo Copilot blocca contenuti dannosi? più avanti in questo articolo.

Nota

Può essere usato il feedback dei clienti, che è facoltativo, per migliorare Microsoft 365 Copilot, così come viene usato il feedback dei clienti per migliorare altri servizi di Microsoft 365 e app di produttività di Microsoft 365. Non utilizziamo questo feedback per formare i LLM di base utilizzati da Microsoft 365 Copilot. I clienti possono gestire il feedback tramite i controlli di amministrazione. Per altre informazioni, vedere Gestire il feedback di Microsoft per la propria organizzazione e Fornire feedback su Microsoft Copilot con app di Microsoft 365.

Dati archiviati sulle interazioni degli utenti con Microsoft 365 Copilot

Quando un utente interagisce con Microsoft 365 Copilot, usando app come Word, PowerPoint, Excel, OneNote, Loop o Whiteboard, i dati relativi a queste interazioni vengono archiviati. I dati archiviati includono la richiesta dell'utente e la risposta di Copilot, incluse le citazioni a tutte le informazioni usate come base per la risposta di Copilot. Si fa riferimento alla richiesta dell'utente e alla risposta di Copilot a tale richiesta come "contenuto delle interazioni" e il record di tali interazioni è la cronologia delle interazioni di Copilot con l'utente. Ad esempio, questi dati archiviati forniscono agli utenti la cronologia delle interazioni di Copilot in Business Chat e riunioni in Microsoft Teams. Questi dati vengono elaborati e archiviati in linea con gli impegni contrattuali con gli altri contenuti dell'organizzazione in Microsoft 365. I dati vengono crittografati durante l'archiviazione e non vengono usati per eseguire il training di LLM di base, inclusi quelli usate da Microsoft 365 Copilot.

Per visualizzare e gestire questi dati archiviati, gli amministratori possono usare Ricerca contenuto o Microsoft Purview. Gli amministratori possono anche usare Microsoft Purview per impostare i criteri di conservazione per i dati correlati alle interazioni tramite chat con Copilot. Per altre informazioni, vedere gli articoli seguenti:

• Panoramica della ricerca contenuto
• Microsoft Purview protegge la sicurezza dei dati e la conformità per le app di intelligenza artificiale generativa
• Informazioni sulla conservazione per Copilot

Per le chat di Microsoft Teams con Copilot, gli amministratori possono anche usare le API di esportazione di Microsoft Teams per visualizzare i dati archiviati.

Eliminazione della cronologia delle interazioni degli utenti con Microsoft 365 Copilot

Gli utenti possono eliminare la cronologia delle interazioni di Copilot, che include le richieste e le risposte restituite da Copilot, accedendo al portale Account personale. Per altre informazioni, vedere Eliminare la cronologia delle interazioni di Microsoft 365 Copilot.

Microsoft 365 Copilot e il confine dei dati dell'UE

Le chiamate di Microsoft 365 Copilot all'LLM vengono indirizzate ai data center più vicini nell'area geografica, ma nei periodi di utilizzo elevato il sistema può chiamare anche altre aree in cui sia disponibile capacità.

Per gli utenti dell'Unione Europea (UE), disponiamo di salvaguardie aggiuntive per conformarci al Confine dei dati dell'UE. Il traffico dell'Europa rimane all'interno del Confine dei dati dell'Europa, mentre il traffico mondiale può essere inviato all'Europa e ad altri paesi o aree geografiche per l'elaborazione di LLM.

Microsoft 365 Copilot e residenza dei dati

Microsoft 365 Copilot sostiene gli impegni di residenza dei dati come delineato nelle Condizioni del prodotto Microsoft e nell'Addendum sulla protezione dei dati. Microsoft 365 Copilot è stato aggiunto come carico di lavoro coperto negli impegni di residenza dei dati nelle Condizioni del prodotto Microsoft il 1° marzo 2024.

Le offerte Advanced Data Residency (ADR) e Multi-Geo Capabilities di Microsoft includono impegni di residenza dei dati per i clienti di Microsoft 365 Copilot a partire dal 1° marzo 2024. Per i clienti dell'UE, Microsoft 365 Copilot è un servizio EU Data Boundary. Le query dei clienti al di fuori dell'UE possono essere elaborate negli Stati Uniti, nell'UE o in altre aree.

Estensibilità di Microsoft 365 Copilot

Mentre Microsoft 365 Copilot può già utilizzare le app e i dati all'interno dell'ecosistema di Microsoft 365, molte organizzazioni dipendono ancora da vari strumenti e servizi esterni per la gestione del lavoro e la collaborazione. Le esperienze di Microsoft 365 Copilot possono fare riferimento a strumenti e servizi di terzi nella risposta alla richiesta di un utente usando connettori di Microsoft Graph o plug-in. I dati dei connettori di Graph possono essere restituiti nelle risposte di Microsoft 365 Copilot se l'utente dispone dell'autorizzazione per accedere a tali informazioni.

Quando i plug-in sono abilitati, Microsoft 365 Copilot determina se deve usare un plug-in specifico per fornire una risposta pertinente all'utente. Se è necessario un plug-in, Microsoft 365 Copilot genera una query di ricerca da inviare al plug-in per conto dell'utente. La query si basa sulla richiesta dell'utente, sulla cronologia delle interazioni Copilot e sui dati a cui l'utente ha accesso in Microsoft 365.

Nella sezione App integrate dell'interfaccia di amministrazione di Microsoft 365, gli amministratori possono visualizzare le autorizzazioni e l'accesso ai dati richiesti da un plug-in, nonché le condizioni per l'utilizzo e l'informativa sulla privacy del plug-in. Gli amministratori hanno il controllo completo per selezionare i plug-in consentiti nell'organizzazione. Un utente può accedere solo ai plug-in consentiti dall'amministratore e che l'utente ha installato o è assegnato. Microsoft 365 Copilot usa solo plug-in attivati dall'utente.

Per altre informazioni, vedere gli articoli seguenti:

• Gestisci i plug-in per Copilot nelle app integrate (ANTEPRIMA)
• Estendere Microsoft 365 Copilot
• In che modo Microsoft 365 Copilot può usare i dati esterni

In che modo Microsoft 365 Copilot protegge i dati dell'organizzazione?

Il modello di autorizzazioni configurato all'interno del tenant di Microsoft 365 consente di garantire che i dati non vengano involontariamente diffusi tra utenti, gruppi e tenant. Microsoft 365 Copilot presenta solo i dati a cui ogni persona può accedere usando gli stessi controlli sottostanti per l'accesso ai dati che vengono usati in altri servizi di Microsoft 365. L'indice semantico rispetta il limite di accesso basato sull'identità, in modo che il processo di grounding acceda solo al contenuto a cui l'utente corrente è autorizzato ad accedere. Per altre informazioni, vedere l'informativa sulla privacy e la documentazione sui servizi di Microsoft.

Quando si hanno dati crittografati da Microsoft Purview Information Protection, Microsoft 365 Copilot rispetta i diritti di utilizzo concessi all'utente. La crittografia può essere applicata tramite etichette di riservatezza o autorizzazioni limitate nelle app di Microsoft 365 utilizzando la Gestione dei diritti delle informazioni (IRM). Per ulteriori informazioni sull'utilizzo di Microsoft Purview con Microsoft 365 Copilot, vedere Protezioni della conformità e della sicurezza dei dati di Microsoft Purview per le app di IA generativa.

Implementiamo già più forme di protezione per evitare che i clienti possano compromettere i servizi e le applicazioni di Microsoft 365 oppure ottenere l'accesso non autorizzato ad altri tenant o al sistema Microsoft 365 stesso. Ecco alcuni esempi di queste forme di protezione:

• L'isolamento logico dei contenuti dei clienti all'interno di ciascun tenant per i servizi Microsoft 365 è ottenuto grazie all'autorizzazione Microsoft Entra e al controllo degli accessi basato sui ruoli. Per altre informazioni, vedere Controlli di isolamento di Microsoft 365.

• Microsoft usa una sicurezza fisica rigorosa, lo screening in background e una strategia di crittografia a più livelli per proteggere la riservatezza e l'integrità del contenuto dei clienti.

• Microsoft 365 usa tecnologie lato servizio che crittografano il contenuto dei clienti sia inattivo che in transito, tra cui BitLocker, crittografia per file, TLS (Transport Layer Security) e IPSec (Internet Protocol Security). Per informazioni specifiche sulla crittografia in Microsoft 365, vedere Crittografia in Microsoft Cloud.

• Il controllo sui propri dati è rafforzato dall'impegno di Microsoft a rispettare normative sulla privacy ampiamente applicabili, ad esempio il GDPR, e standard di privacy diffusi come ISO/IEC 27018, il primo codice di condotta internazionale al mondo per la privacy nel cloud.

• Per i contenuti a cui si accede tramite plug-in di Microsoft 365 Copilot, la crittografia può escludere l'accesso programmatico, limitando così l'accesso del plug-in ai contenuti. Per altre informazioni, vedere Configurare i diritti di utilizzo per Azure Information Protection.

Soddisfare i requisiti di conformità alla normativa

Man mano che le normative in materia di intelligenza artificiale si evolveranno, Microsoft continuerà ad adattarsi e a rispondere per soddisfare i requisiti normativi futuri.

Microsoft 365 Copilot si basa sugli attuali impegni di Microsoft in materia di sicurezza e privacy dei dati nell'azienda. Non sono previste modifiche a questi impegni. Microsoft 365 Copilot è integrato in Microsoft 365 e si attiene a tutti gli impegni esistenti in materia di privacy, sicurezza e conformità per i clienti commerciali di Microsoft 365. Per altre informazioni, vedere Conformità Microsoft.

Oltre a rispettare le normative, diamo priorità a un dialogo aperto con i nostri clienti, i partner e le autorità di regolamentazione per comprendere e affrontare al meglio i problemi, favorendo così un ambiente di fiducia e cooperazione. Riconosciamo che la privacy, la sicurezza e la trasparenza non sono solo caratteristiche, ma prerequisiti nel panorama guidato dall'IA di Microsoft.

Informazioni aggiuntive

Microsoft 365 Copilot e controlli della privacy per esperienze connesse

Alcuni controlli della privacy per le esperienze connesse in Microsoft 365 Apps possono influire sulla disponibilità delle funzionalità di Microsoft 365 Copilot. Sono inclusi i controlli della privacy per le esperienze connesse che analizzano i contenuti e il controllo della privacy per esperienze connesse facoltative. Per informazioni su questi controlli della privacy, vedere Panoramica dei controlli della privacy per Microsoft 365 Apps for enterprise.

Controllo della privacy per esperienze connesse che analizzano il contenuto

Se si disattivano le esperienze connesse che analizzano il contenuto in dispositivi Windows o Mac nell'organizzazione, le funzionalità di Microsoft 365 Copilot non saranno disponibili per gli utenti nelle app seguenti:

• Excel
• PowerPoint
• OneNote
• Word

Esiste anche un controllo della privacy che disattiva tutte le esperienze connesse, incluse quelle che analizzano il contenuto. Se si usa tale controllo della privacy, le funzionalità di Microsoft 365 Copilot non saranno disponibili per determinate app su determinati dispositivi, come descritto in precedenza.

Controllo della privacy per esperienze connesse facoltative

Se si disattivano le esperienze connesse facoltative nell'organizzazione, le funzionalità di Microsoft 365 Copilot che sono esperienze connesse facoltative non saranno disponibili per gli utenti. Ad esempio, la ricerca Web non sarà disponibile per gli utenti.

Esiste anche un controllo della privacy che disattiva tutte le esperienze connesse, incluse quelle facoltative. Se si usa tale controllo della privacy, le funzionalità di Microsoft 365 Copilot che sono esperienze connesse facoltative non saranno disponibili.

Informazioni sui contenuti creati da Microsoft 365 Copilot

Non è garantito che le risposte generate dall'IA siano reali al 100%. Anche se continuiamo a migliorare le risposte, gli utenti devono comunque usare il loro giudizio nel rivedere i risultati prima di inviarli ad altri. Le nostre funzionalità di Copilot di Microsoft 365 forniscono bozze e riepiloghi utili per aiutarti a ottenere di più, dandoti la possibilità di rivedere l'IA generata piuttosto che automatizzare completamente queste attività.

Continuiamo a migliorare gli algoritmi per affrontare in modo proattivo i problemi, come la cattiva informazione e la disinformazione, il blocco dei contenuti, la sicurezza dei dati e la prevenzione della promozione di contenuti dannosi o discriminatori, in linea con i nostri principi per l'intelligenza artificiale responsabile.

Microsoft non rivendica la proprietà dei risultati del servizio. Detto questo, non siamo noi a stabilire se la produzione di un cliente è protetta da copyright o se può essere fatta valere nei confronti di altri utenti. Questo perché i sistemi di intelligenza artificiale generativa possono produrre risposte simili a richieste o domande simili da parte di più clienti. Di conseguenza, più clienti possono avere o rivendicare diritti su contenuti uguali o sostanzialmente simili.

Se una terza parte cita in giudizio un cliente commerciale per violazione del copyright per aver utilizzato i Copilot di Microsoft o l'output da essi generato, difenderemo il cliente e pagheremo l'importo di eventuali sentenze o patteggiamenti sfavorevoli risultanti dalla causa, a condizione che il cliente abbia utilizzato i guardrail e i filtri per i contenuti che abbiamo integrato nei nostri prodotti. Per ulteriori informazioni, vedere Microsoft annuncia il nuovo impegno di copyright Copilot per i clienti.

In che modo Copilot blocca il contenuto dannoso?

Il Servizio OpenAI di Azure include un sistema di filtro del contenuto che funziona insieme ai modelli di base. I modelli di filtro del contenuto per le categorie Odio e equità, Contenuti sessuali, Violenza e Autolesionismo sono stati sottoposti a training e test specifici in varie lingue. Questo sistema funziona eseguendo sia la richiesta di input che la risposta tramite modelli di classificazione progettati per identificare e bloccare l'output di contenuto dannoso.

I danni correlati a odio e equità fanno riferimento a qualsiasi contenuto che usi un linguaggio peggiorativo o discriminatorio basato su attributi come razza, etnia, nazionalità, identità ed espressione di genere, orientamento sessuale, religione, stato di immigrazione, stato di abilità, aspetto personale e dimensioni del corpo. L'equità si occupa di garantire che i sistemi di IA trattino tutti i gruppi di persone in modo equo senza contribuire alle disuguaglianze sociali esistenti. Il contenuto sessuale riguarda discussioni su organi riproduttivi umani, relazioni romantiche, atti rappresentati in termini erotici o amorosi, gravidanza, atti sessuali fisici, inclusi quelli rappresentati come aggressioni o violenze sessuali, prostituzione, pornografia e abuso. La violenza descrive il linguaggio correlato ad azioni fisiche destinate a danneggiare o uccidere, incluse azioni, armi ed entità correlate. Il linguaggio autolesionistico si riferisce ad azioni intenzionali che hanno lo scopo di ferirsi o uccidersi.

Scopri di più sul filtro del contenuto di OpenAI di Azure.

Copilot fornisce il rilevamento di materiali protetti?

Sì, Copilot per Microsoft 365 fornisce il rilevamento per materiali protetti, che include testo soggetto a copyright e codice soggetto a restrizioni di licenza. Non tutte queste mitigazioni sono pertinenti per tutti gli scenari di Microsoft 365 Copilot.

Copilot blocca gli attacchi di prompt injection (jailbreak)?

Gli attacchi jailbreak sono richieste degli utenti progettate per provocare nel modello di IA generativa comportamenti che è stato addestrato a non eseguire o per violare le regole che è stato addestrato a seguire. Microsoft 365 Copilot è concepito per proteggere da attacchi prompt injection. Scopri di più sugli attacchi jailbreak e su come usare Sicurezza dei contenuti di Azure AI per rilevarli.

Impegno per l'IA responsabile

Poiché l'IA è destinata a trasformare le nostre vite, dobbiamo definire collettivamente nuove regole, norme e procedure per l'uso e l'impatto di questa tecnologia. Microsoft ha avviato un percorso per l'intelligenza artificiale responsabile dal 2017, quando abbiamo definito i nostri principi e il nostro approccio per garantire che questa tecnologia venga usata in un modo conforme a principi etici che mettono le persone al primo posto.

Microsoft è guidata dai suoi principi per l'intelligenza artificiale, dallo standard per l'IA responsabile e da decenni di ricerca sull'intelligenza artificiale, il grounding e la preservazione della privacy nell'apprendimento automatico. Un team multidisciplinare di ricercatori, ingegneri ed esperti di criteri esamina i sistemi di intelligenza artificiale per individuare potenziali danni e mitigazioni, perfezionando i dati di training, filtrando per limitare i contenuti dannosi, bloccando le query e i risultati per gli argomenti sensibili e applicando tecnologie Microsoft come InterpretML e Fairlearn per rilevare e correggere la distorsione dei dati. Spieghiamo chiaramente in che modo il sistema prende decisioni notando le limitazioni, inserendo collegamenti alle fonti e invitando gli utenti a rivedere, verificare i fatti e modificare il contenuto in base alle proprie competenze in materia. Per altre informazioni, vedere Governance dell'intelligenza artificiale: un progetto per il futuro.

Il nostro obiettivo è aiutare i clienti a usare i nostri prodotti di intelligenza artificiale in modo responsabile, condividendo le nostre conoscenze e creando partnership basate sulla fiducia. Per questi nuovi servizi, vogliamo fornire ai clienti informazioni sugli usi previsti, le funzionalità e le limitazioni previsti del servizio della piattaforma di intelligenza artificiale, in modo che dispongano delle conoscenze necessarie per effettuare scelte di distribuzione responsabili. Condividiamo inoltre risorse e modelli con gli sviluppatori all'interno delle organizzazioni e con i fornitori indipendenti di software (ISV), per aiutarli a costruire soluzioni di IA efficaci, sicure e trasparenti.

Articoli correlati

• Requisiti di Microsoft 365 Copilot
• Introduzione a Copilot in Microsoft 365.
• Sito di adozione di Microsoft 365 Copilot