Microsoft introduce un filtro per i bot indesiderati nelle riunioni Teams

Microsoft sta rafforzando le misure di sicurezza e privacy all'interno della sua piattaforma di collaborazione Teams, introducendo un nuovo meccanismo progettato per impedire ai bot di accedere in modo non autorizzato alle riunioni. Questa iniziativa risponde a una crescente preoccupazione: i bot si intromettono in sessioni per le quali non erano stati invitati, creando potenziali rischi per la sicurezza e la riservatezza dei dati.

Meera Ajam, product marketing manager di Microsoft, ha evidenziato come, dopo aver collegato un servizio di terze parti a una riunione, alcuni utenti abbiano riscontrato che il bot associato continuava a partecipare automaticamente a incontri futuri. Situazioni simili, come l'aggiunta automatica di bot di trascrizione a riunioni coperte da accordi di non divulgazione (NDA), rappresentano una chiara minaccia alla privacy e alla sovranità dei dati aziendali.

Il "buttafuori" digitale: come funziona il nuovo controllo

Per affrontare questo problema, Microsoft ha sviluppato una tecnicia che impone un controllo umano all'ingresso dei bot. Similmente a un "buttafuori" in un evento fisico, il sistema richiede che un partecipante umano verifichi l'identità di un bot nella "lobby" della riunione, dove gli ospiti attendono prima di essere ammessi. Solo dopo l'approvazione esplicita, il bot può unirsi alla discussione.

L'azienda ha dichiarato di aver "rafforzato la capacità di Teams di distinguere tra bot e partecipanti umani" utilizzando una combinazione di "segnali comportamentali e infrastrutturali" per identificare i bot con maggiore precisione. Sebbene non vi sia una garanzia di rilevamento di tutti i bot, l'obiettivo è rendere l'ammissione di un bot una "decisione deliberata", non un evento accidentale. Questo approccio richiede più passaggi per consentire a un bot di partecipare, garantendo che l'intenzione dell'utente sia chiara.

Implicazioni per la sovranità dei dati e il controllo aziendale

Questo aggiornamento di Teams, pur riguardando una piattaforma cloud, sottolinea un tema cruciale per le organizzazioni che valutano deployment on-premise o soluzioni self-hosted: il controllo granulare sull'accesso ai dati sensibili. La capacità di decidere chi (o cosa) può interagire con le informazioni aziendali è fondamentale per la compliance, la sicurezza e la sovranità dei dati.

Per le aziende che gestiscono Large Language Models (LLM) o altre applicazioni AI in ambienti on-premise, la gestione degli accessi automatizzati è una priorità assoluta. La logica di "decisione deliberata" promossa da Microsoft rispecchia la necessità di policy di sicurezza robuste e di meccanismi di autenticazione e autorizzazione stringenti, spesso implementati tramite Identity and Access Management (IAM) e segmentazione della rete in infrastrutture locali. L'assenza di un controllo adeguato sui bot potrebbe, infatti, compromettere l'integrità dei dati e la conformità normativa, indipendentemente dall'ambiente di deployment.

Il futuro della gestione dei bot e la strada per gli ISV

Microsoft riconosce che alcuni utenti desiderano l'interazione dei bot nelle riunioni, ad esempio per la trascrizione o la traduzione. Per questo motivo, l'azienda prevede di aggiungere un "percorso di registrazione" per gli Independent Software Vendors (ISV) che sviluppano esperienze per Teams. Questo percorso consentirà ai creatori di bot di registrarsi presso Microsoft e includere un marcatore di auto-identificazione nelle loro richieste di accesso. Quando Teams riconoscerà questo marcatore, potrà identificare il bot come un "partecipante conosciuto".

Questa funzionalità è attualmente in fase di anteprima con un set limitato di ISV, con l'obiettivo di validare l'esperienza prima di una disponibilità più ampia. L'introduzione di un tale sistema di registrazione, tuttavia, solleva interrogativi sul ruolo di Microsoft come "arbitro" dei bot ammissibili, un aspetto che le organizzazioni dovranno considerare nel contesto delle loro strategie di integrazione e sicurezza.

Il rollout di questo nuovo sistema di controllo dei bot è già iniziato e, una volta completato, Microsoft ritirerà i CAPTCHA attualmente utilizzati per gestire l'accesso dei bot. Questa evoluzione mira a fornire un'esperienza più fluida e sicura, pur mantenendo un elevato livello di controllo sull'ambiente delle riunioni.