L’etichetta è un’istruzione: “riservato—cliente” attiva cifratura, watermark, destinatari ammessi; la semantica viaggia quando il contenuto diventa allegato, slide, PDF o frammento incollato in una chat. Se qualcuno forza la mano, compare un messaggio chiaro con una via d’uscita utile — per esempio la versione sanitizzata o l’area partner — e solo in ultima istanza il blocco, motivato e tracciato.
Nel quotidiano l’etichetta è la traduzione tecnica di una decisione di business. Funziona quando è poche e prevedibile: “pubblico”, “interno”, “riservato—cliente”, “riservato—IP”, “dati personali” (base/sensibili). A ogni categoria corrispondono azioni sempre uguali: cifratura, condivisione ammessa o vietata, retention, audit. Qui si innesta l’AI: Copilot non interpreta policy astratte, rispetta etichette e permessi. Una nota “interno—finanza” non appare a chi non deve; un dataset “dati personali” genera avvisi nei prompt e, se serve, blocchi mirati.
Il DLP efficace resta sullo sfondo finché non serve. Valuta identità e ruolo, natura del contenuto, postura del dispositivo, destinazione. Prima insegna, poi guida, infine blocca: un utente che tenta l’invio di “riservato—IP” verso un dominio personale vede una spiegazione e un pulsante per creare la copia ripulita; se insiste, l’azione viene fermata e l’owner è informato. Anche le soglie diventano pratiche e trasparenti: un picco di >500 file sensibili in 24 ore o >5 GB da repository critici attiva una risposta “medium”; invii verso più domini personali o copie di IP su device non gestiti scalano a “high”. Meno falsi positivi, meno work-around, più fiducia.
Gli effetti si misurano, non si proclamano. Tre curve dicono la verità: data discovery time che scende da ore doppie a poche (obiettivo 2–4h in novanta giorni), accessi eccessivi sui repository critici in calo mese su mese, tempo di containment per condivisioni improprie che si assesta sotto i trenta minuti. Numeri sobri, ma implacabili.
L’impostazione corretta evita i due errori classici. Niente tassonomie enciclopediche: poche etichette con comportamenti davvero diversi e micro-copy coerente (“Stai condividendo ‘Riservato—IP’ verso un dominio non autorizzato. Crea versione sanitizzata o usa l’area partner.”). Niente enforcement “a freddo”: una fase di monitoraggio guidato tarata sui dati reali, poi strette progressive dove il rischio lo giustifica.
Infine, Purview vive dove si lavora. Ruoli e gruppi in Entra danno sostanza al minimo privilegio; Intune e Defender estendono l’enforcement al dispositivo; file, email e Teams diventano l’interfaccia della regola. Nei casi speciali — una data room M&A a tempo, o la prompt hygiene per Copilot — la stessa logica regge: etichetta temporanea, accessi just-in-time, audit rafforzato e messaggi che spiegano il perché, non solo il divieto.
Questo non è “perché fare governance”, è come far sì che etichette e DLP facciano cose. Il resto — meno incidenti, AI più affidabile, audit più rapidi — segue come conseguenza naturale.
