Un giorno dopo il lancio di Claude Fable 5, Microsoft ha vietato ai propri dipendenti di usarlo. La decisione — comunicata internamente il 10 giugno 2026 — ha anticipato di due giorni il blocco del governo USA e riguarda un problema diverso e per certi versi più sottile: non la geopolitica, ma la gestione dei dati aziendali. Il motivo è la nuova data retention policy introdotta da Anthropic per tutti i modelli Mythos-class, che conserva prompt e output per 30 giorni e cancella automaticamente gli accordi di zero data retention precedentemente negoziati da molte aziende.
Microsoft ha bloccato Claude Fable 5 per i propri dipendenti il 10 giugno 2026, un giorno dopo il lancio. Il motivo: la nuova policy di Anthropic conserva prompt e output per 30 giorni (fino a 2 anni se flaggati dai sistemi di sicurezza), cancellando di fatto gli accordi zero data retention già in vigore. Il problema tocca tutte le aziende che usano Claude in contesti con dati sensibili o riservati.
Indice
- La decisione di Microsoft: cosa ha vietato e perché
- La policy di 30 giorni: cosa conserva Anthropic e come
- Cosa sono gli accordi Zero Data Retention
- Perché è un problema per le aziende
- Le ragioni di Anthropic: sicurezza contro jailbreak
- Cosa dovrebbero fare le aziende italiane
- Domande frequenti
La decisione di Microsoft: cosa ha vietato e perché
Microsoft non ha aspettato il governo. Il 10 giugno 2026, il giorno dopo il lancio di Fable 5, la comunicazione interna ai dipendenti era già uscita: usare Claude Fable 5 per lavoro è vietato fino a nuova comunicazione. Non è un blocco tecnico — gli account Microsoft non sono stati disabilitati da Anthropic — ma una direttiva interna che riguarda la gestione delle informazioni aziendali.
La posizione di Microsoft è tecnicamente precisa. Il problema non è che Anthropic sia inaffidabile, né che Fable 5 sia pericoloso in sé. Il problema è contrattuale: la nuova policy di conservazione dei dati è incompatibile con gli standard interni di Microsoft per la gestione di informazioni confidenziali. Un dipendente che usa Fable 5 per analizzare codice proprietario, elaborare documenti strategici o lavorare su prodotti in sviluppo sta di fatto inviando quei contenuti a un sistema che li conserverà per 30 giorni su infrastrutture di Anthropic — senza che Microsoft abbia negoziato le garanzie contrattuali necessarie per farlo in sicurezza.
La tempistica è significativa. Microsoft è anche il principale partner di OpenAI e ha investito miliardi in quell’ecosistema. Non è la prima volta che l’azienda limita l’uso di strumenti AI competitor tra i propri dipendenti — ma farlo così rapidamente, con motivazione esplicita sulla data retention, è un segnale che altre aziende hanno raccolto immediatamente.
La policy di 30 giorni: cosa conserva Anthropic e come
La nuova politica di Anthropic per i modelli Mythos-class stabilisce che ogni prompt inviato e ogni risposta generata vengono conservati per un minimo di 30 giorni. Non è una raccolta dati per addestrare i modelli — Anthropic è stata esplicita su questo punto — ma una retention operativa legata alla sicurezza della piattaforma.
Il caso più delicato è quello dei contenuti flaggati. Se un prompt o un output attiva i sistemi di trust and safety di Anthropic — perché contiene elementi che il classificatore automatico ritiene potenzialmente violativi delle policy d’uso — il periodo di conservazione si estende fino a due anni. Questo meccanismo è pensato per permettere ad Anthropic di analizzare i pattern di abuso e migliorare i sistemi di sicurezza nel tempo.
Il problema pratico è evidente: i classificatori automatici generano falsi positivi. Un prompt tecnico su cybersecurity difensiva, un documento legale che descrive una controversia, una ricerca medica su sostanze controllate — tutti contenuti perfettamente legittimi che potrebbero attivare un flag automatico e finire in una retention di due anni senza che l’utente ne venga informato in modo chiaro. Non è malafede di Anthropic — è un limite strutturale di qualsiasi sistema di classificazione automatica su scala.
Cosa sono gli accordi Zero Data Retention
Prima del lancio di Fable 5, molte aziende che integravano Claude nelle proprie operazioni avevano negoziato con Anthropic accordi di Zero Data Retention (ZDR). Questi accordi stabilivano che nessun dato — né prompt né output — venisse conservato oltre il tempo strettamente necessario a generare la risposta. Una volta completata la sessione, i dati venivano eliminati. Per le aziende con requisiti di compliance stringenti — banche, studi legali, aziende sanitarie, grandi tech — era la precondizione per usare Claude su dati sensibili.
La nuova policy di Anthropic ha reso questi accordi incompatibili con i modelli Mythos-class. Non è che gli accordi esistenti siano stati esplicitamente rescissi — ma le condizioni tecniche su cui erano basati sono cambiate unilateralmente. Un’azienda con un accordo ZDR in vigore che usa Fable 5 si trova ora in una situazione giuridicamente ambigua: l’accordo dice una cosa, la policy operativa del modello ne fa un’altra.
Anthropic ha dichiarato di voler lavorare con i partner enterprise per definire nuove condizioni compatibili con la retention policy, ma al momento della decisione di Microsoft queste rinegoziazioni non erano ancora completate.
Perché è un problema per le aziende
Il caso Microsoft è il più visibile, ma la questione tocca qualsiasi organizzazione che usa Claude — o che stia valutando di usarlo — in contesti con dati non pubblici. Per capire concretamente il problema, basta pensare a qualche scenario reale.
Uno studio legale che usa Claude per analizzare contratti: i contenuti inviati al modello rientrano nel perimetro del segreto professionale. Se Anthropic li conserva per 30 giorni su propri server, lo studio ha un potenziale problema di violazione delle proprie obbligazioni verso i clienti. Un’azienda farmaceutica che usa Claude per analizzare dati di ricerca non pubblicati: la retention di 30 giorni espone dati che potrebbero essere considerati segreti commerciali. Una banca che usa Claude per elaborare informazioni sui clienti: la retention potrebbe creare problemi con il GDPR europeo, che richiede una base giuridica chiara per ogni periodo di conservazione dei dati personali.
Non sono scenari ipotetici esagerati — sono i casi d’uso reali per cui le aziende avevano negoziato gli accordi ZDR in primo luogo. La domanda che molti responsabili IT e compliance stanno ponendo in questi giorni è: possiamo ancora usare Claude per il lavoro che stavamo facendo?
Le ragioni di Anthropic: sicurezza contro jailbreak
Anthropic non ha introdotto la retention policy per raccogliere dati o per usi commerciali. La motivazione dichiarata è difensiva: conservare i dati per analizzare nuovi vettori di attacco e tentativi di jailbreak che emergono man mano che il modello viene usato in produzione su scala.
Il ragionamento ha una sua logica. Fable 5 è il modello più potente mai reso pubblico da Anthropic — e i modelli più capaci sono anche quelli che attraggono i tentativi di manipolazione più sofisticati. Avere accesso ai prompt che generano comportamenti anomali permette ai team di sicurezza di identificare pattern, aggiornare i classificatori e migliorare i guardrail prima che quei pattern vengano sfruttati su larga scala. Senza retention, molti di questi attacchi rimarrebbero invisibili.
È un trade-off reale, non una scusa. Ma è anche un trade-off che Anthropic ha fatto in modo unilaterale, senza darne comunicazione preventiva ai partner che avevano accordi diversi. Questo è il punto su cui la critica delle aziende — Microsoft inclusa — è più difficile da smontare: non tanto il “cosa” della policy, ma il “come” è stata introdotta.
Cosa dovrebbero fare le aziende italiane
Se la tua azienda usa Claude — via API, tramite un’integrazione su Azure o Bedrock, o attraverso strumenti che lo incorporano — il primo passo è verificare quale versione del modello state usando. Se è Fable 5 o Mythos 5, siete già bloccati dalla direttiva governativa USA: il problema della data retention è temporaneamente secondario perché il modello non è più accessibile.
Se usate Opus 4.8 o versioni precedenti, le policy di retention sono diverse e più favorevoli — vale la pena verificare i termini specifici del vostro contratto con Anthropic o con il cloud provider attraverso cui accedete al servizio. Gli accordi ZDR su Opus 4.8 restano in vigore secondo le condizioni originali.
Per chi stava valutando di passare a Fable 5 o di costruire nuove integrazioni, la raccomandazione pratica è aspettare che si chiariscano due punti: quando e come Fable 5 tornerà disponibile per gli utenti internazionali, e quali nuove condizioni contrattuali Anthropic proporrà per la data retention sulle versioni enterprise. Entrambe le cose dovrebbero risolversi nelle prossime settimane o mesi.
Nel frattempo, per un confronto aggiornato tra le alternative AI disponibili per le aziende italiane, leggi il nostro confronto completo ChatGPT vs Claude vs Gemini vs Perplexity. Per capire come funziona Claude e quali versioni sono oggi accessibili, la guida completa ai modelli Claude è aggiornata alla situazione attuale.
Domande frequenti
Microsoft usa ancora Claude nei suoi prodotti?
Il blocco riguarda l’uso interno dei dipendenti, non l’integrazione di Claude nei prodotti Microsoft. Azure AI Foundry continua a offrire Claude come opzione per i clienti enterprise — con la loro gestione del rischio e compliance.
Il GDPR protegge le aziende europee dalla data retention di Anthropic?
In parte. Il GDPR richiede una base giuridica per ogni trattamento di dati personali e limiti di conservazione proporzionati alla finalità. Se i prompt contengono dati personali di cittadini UE, la retention di 30 giorni (o 2 anni in caso di flag) deve essere giustificata dal contratto con Anthropic. Chi aveva un accordo ZDR si trova in una zona grigia che richiede una valutazione legale specifica.
Anche altri modelli AI conservano i dati?
Dipende dal modello e dal contratto. OpenAI e Google offrono opzioni zero retention per i clienti enterprise API. La novità di Anthropic con Fable 5 è che la retention è obbligatoria per i modelli Mythos-class e non può essere disattivata contrattualmente — almeno nella versione attuale della policy.
Anthropic può cambiare la policy in futuro?
Sì, e probabilmente lo farà almeno per i partner enterprise. La pressione di Microsoft e di altre grandi organizzazioni crea un incentivo concreto a trovare una soluzione che permetta la retention operativa per la sicurezza senza impattare i dati dei clienti con accordi specifici.
Come posso verificare se la mia azienda è esposta?
Controlla i termini del contratto con Anthropic o con il provider cloud (AWS, Azure, GCP) attraverso cui accedi a Claude. Cerca la sezione “data retention” o “data handling” — se hai un accordo ZDR attivo, verifica con il fornitore se è ancora operativo per i modelli che stai usando.
