Microsoft Flex Routing: Cosa devono sapere le aziende dell'UE
Microsoft ora instrada l'elaborazione AI di Copilot fuori dall'UE durante i picchi di domanda — attivo di default, senza richiesta di consenso. Ecco cosa è cambiato e cosa puoi fare.
Ultimo aggiornamento: Aprile 2026
In sintesi
- → Dal 17 aprile 2026, Microsoft instrada l'elaborazione AI di Copilot verso data center in USA, Canada o Australia quando la capacità UE è satura. Questo è chiamato flex routing ed è abilitato di default per tutti i tenant UE/EFTA.
- → I tuoi file ed email rimangono archiviati nell'UE. Ma quando Copilot li elabora, l'intero contesto — documenti, email e metadati raggruppati — può essere inviato fuori dall'UE per l'inferenza AI.
- Conclusione: "Archiviato nell'UE" non significa più "elaborato nell'UE". Se la tua organizzazione è soggetta a GDPR, NIS2 o DORA, controlla oggi stesso le impostazioni di Copilot.
Cos'è il Microsoft Flex Routing?
Il flex routing è una funzionalità di Microsoft 365 Copilot che consente l'inferenza AI — il calcolo effettivo in cui un modello linguistico di grandi dimensioni elabora il tuo prompt e genera una risposta — al di fuori del confine dei dati UE durante i periodi di picco della domanda. Microsoft ha pubblicato la documentazione ufficiale il 3 aprile 2026 (post del Message Center MC1269223).
Quando un utente invia un prompt a Copilot, la pipeline di Microsoft raggruppa il prompt con il contesto pertinente: email, file SharePoint, dati del calendario e istruzioni di sistema. Questo pacchetto viene inviato a un cluster GPU per l'inferenza. Normalmente, i tenant UE vengono elaborati su GPU basate nell'UE. Con il flex routing abilitato, quel pacchetto — inclusi i dati della tua organizzazione — può essere instradato verso data center negli Stati Uniti, in Canada o in Australia quando la capacità GPU dell'UE è satura.
I dati a riposo — file, email e contenuti SharePoint — rimangono archiviati all'interno del confine dei dati UE. Ciò che lascia l'UE è il calcolo dell'inferenza stesso, oltre a quelli che Microsoft descrive come "dati pseudonimizzati limitati" per scopi di sicurezza e operativi.
| Data | Evento |
|---|---|
| 25 marzo 2026 | Flex routing abilitato di default per tutti i nuovi tenant UE/EFTA |
| 3 aprile 2026 | Microsoft pubblica la documentazione ufficiale e il post MC1269223 nel Message Center |
| 7 aprile 2026 | Allarme lanciato dalla community di ricercatori di sicurezza e professionisti IT |
| 17 aprile 2026 | Il flex routing diventa operativo e l'impostazione predefinita è ON per tutti i tenant UE/EFTA esistenti |
Perché questo è importante per le organizzazioni UE
Per anni, le organizzazioni UE hanno potuto ragionevolmente presumere che le impostazioni predefinite di Microsoft fossero conservative — che le funzionalità con implicazioni sulla residenza dei dati venissero rilasciate come opt-in. Il flex routing rompe questa presunzione. È opt-out, non opt-in, ed è stato abilitato senza il consenso esplicito degli amministratori dei tenant.
La distinzione tra "archiviato nell'UE" ed "elaborato nell'UE" è il problema centrale. L'Articolo 44 del GDPR limita il trasferimento di dati personali verso paesi terzi. Quando Copilot raggruppa email, documenti e metadati della tua organizzazione in un contesto RAG e li invia a un data center statunitense per l'inferenza, si tratta di un trasferimento di dati — indipendentemente da dove i file sono archiviati a riposo. Le organizzazioni soggette a NIS2 (infrastrutture critiche) o DORA (settore finanziario) affrontano un'ulteriore esposizione normativa.
Il meccanismo di opt-out stesso solleva preoccupazioni. Gli amministratori avevano tempo fino al 17 aprile per disabilitare il flex routing — una finestra di tre settimane dopo la pubblicazione della documentazione ufficiale. La modifica dell'impostazione richiede circa una settimana per propagarsi in tutto il tenant. Per le organizzazioni che hanno perso l'annuncio, i dati di Copilot vengono già elaborati al di fuori dell'UE.
Cosa deve fare il tuo amministratore proprio ora
Apri l'Interfaccia di amministrazione di Microsoft 365. Vai su Copilot, poi su Impostazioni. Cerca "Inferenza flessibile durante i periodi di picco del carico". Se dice "Consenti flex routing durante i periodi di picco del carico", i dati Copilot della tua organizzazione possono essere elaborati fuori dall'UE. Seleziona "Non consentire flex routing" per disabilitarlo.
La modifica dell'impostazione richiede circa una settimana per propagarsi nel tenant. Il flex routing influisce su Microsoft 365 Copilot, Copilot Chat, Dynamics 365 Copilot, Power Platform Copilot e Copilot Studio. Tutti questi prodotti instraderanno l'inferenza AI fuori dall'UE quando l'opzione è attiva.
Un'eccezione: i clienti Multi-Geo hanno controlli separati sulla residenza dei dati e non sono interessati dall'impostazione predefinita del flex routing. Se la tua organizzazione utilizza Multi-Geo, la configurazione esistente ha la precedenza.
Microsoft 365 vs Veluvanto: Sovranità dei dati a confronto
Il flex routing evidenzia una domanda fondamentale: dove vengono effettivamente elaborati i tuoi documenti e chi decide? Ecco un confronto diretto su come Microsoft 365 e Veluvanto gestiscono la sovranità dei dati.
| Aspetto | Microsoft 365 | Veluvanto |
|---|---|---|
| Posizione archiviazione dati | Confine dei dati UE (con eccezioni) | Solo UE — Amsterdam (NL) e Francoforte (DE) |
| Posizione elaborazione AI | UE di default, USA/CA/AU durante i picchi | Solo UE — Google Vertex AI (europe-west) |
| Instradamento dati predefinito | Flex routing ON di default da aprile 2026 | Nessun instradamento transfrontaliero, nessuna sorpresa |
| Modello di crittografia | Chiavi gestite da Microsoft | Crittografia SSE-C (AES-256) a riposo |
| Addestramento AI sui tuoi dati | Microsoft dichiara nessun addestramento, ma i dati lasciano l'UE | Mai. Zero addestramento AI sui dati dei clienti. |
| Controllo amministratore | Interruttore a livello di tenant, ~1 settimana di ritardo | Controllo per workspace, effetto immediato |
| Portabilità dei dati | Esportazione tramite strumenti admin, processo complesso | Esportazione completa in ogni momento — i tuoi documenti, i tuoi dati |
| Trasparenza dei prezzi | Microsoft 365 + add-on Copilot ($30/utente/mese) | Da 9 €/mese + IVA, tutte le funzioni incluse |
Come Veluvanto gestisce l'elaborazione dei documenti
Veluvanto è un sistema di gestione documentale basato su AI costruito con una regola semplice: i tuoi dati rimangono nell'UE. Non ci sono impostazioni di instradamento nascoste, nessuna eccezione per i picchi di domanda e nessuna clausola scritta in piccolo su dove avviene l'elaborazione AI.
Tutti i dati sono archiviati in data center UE: Backblaze B2 ad Amsterdam e Wasabi a Francoforte. L'elaborazione AI avviene tramite Google Vertex AI nella regione europe-west — all'interno dell'UE, senza instradamento transfrontaliero.
Ogni impostazione è esplicita. Non c'è alcun interruttore sepolto in una console di amministrazione che invia silenziosamente i tuoi dati all'estero. Ciò che configuri è ciò che accade — nessuna sorpresa, nessuna eccezione durante i picchi di domanda. Ogni file è crittografato a riposo con SSE-C (AES-256).
- ✓Tutti i dati archiviati nell'UE — data center di Amsterdam e Francoforte
- ✓Tutta l'elaborazione AI nell'UE — nessun instradamento transfrontaliero, mai
- ✓Crittografia SSE-C (AES-256) a riposo
- ✓Zero addestramento AI sui tuoi documenti
- ✓Esportazione completa dei dati — i tuoi documenti sono sempre portatili
- ✓Nessuna impostazione predefinita a sorpresa — quello che vedi è quello che ottieni
Guide Correlate
Gestione Documentale in Cloud
Alternative ospitate in UE che non instradano i tuoi dati attraverso gli USA
Gestione Documentale GDPR
Cosa richiede effettivamente il GDPR per l'archiviazione e l'elaborazione dei documenti
EU AI Act e Gestione Documentale
Cosa significa l'EU AI Act per il tuo DMS con AI — guida alla conformità funzione per funzione