Una PMI manifatturiera del Nord Italia, 90 dipendenti, riceve l’alert: un account amministrativo ha eseguito uno script PowerShell offuscato alle 3 di notte. Chi è di turno? Nessuno specialista interno. Il referente IT apre Defender, vede una catena di eventi correlati, ma per capire se è un attacco o un falso positivo servirebbero ore di analisi e competenze KQL che in azienda non ci sono. È in questa frattura — tra “abbiamo gli strumenti” e “abbiamo qualcuno capace di leggerli in fretta” — che Microsoft posiziona Security Copilot.
In questa analisi vediamo cos’è, come funziona il modello di prezzo a consumo basato su SCU, gli use-case concreti e — con taglio onesto — quando ha senso per una PMI italiana e quando è denaro buttato.
Cos’è Security Copilot
Security Copilot è l’assistente AI per la sicurezza di Microsoft: un copilota generativo specializzato in security operations, costruito su modelli AI di frontiera combinati con la telemetria di sicurezza dell’ecosistema Microsoft. In pratica permette a un analista (o a un referente IT poco specializzato) di porre domande in linguaggio naturale e ottenere risposte contestualizzate sui propri dati di sicurezza.
Esiste in due forme da distinguere:
- Standalone: un portale dedicato dove l’operatore lancia indagini e usa i promptbook (sequenze di prompt riutilizzabili per attività ripetitive).
- Embedded: l’esperienza Copilot incorporata nei prodotti che il team già usa — il riquadro di assistenza in Defender, Intune, Entra e Purview — così l’aiuto AI arriva dove si sta lavorando.
Il valore non sta nel “chatbot” in sé, ma nel ridurre tempo e competenze per attività che oggi richiedono un analista senior.
L’integrazione con l’ecosistema Microsoft
Security Copilot non vive isolato: il suo senso è proprio l’integrazione nativa con i prodotti di sicurezza Microsoft. Attinge ai dati di:
- Microsoft Defender XDR — incident, alert, dispositivi, identità, posta. È qui che Copilot mostra il valore più immediato per una PMI con Microsoft Defender attivo.
- Microsoft Intune — postura dei dispositivi, conformità e policy del parco device.
- Microsoft Entra — identità, accessi rischiosi, sign-in sospetti.
- Microsoft Purview — data security, etichette di sensibilità, rischi di esfiltrazione dati.
Si appoggia inoltre ai dati di Microsoft Sentinel quando presente. Più dati di qualità ha sotto, più le risposte sono utili: è un moltiplicatore di ciò che già esiste, non un sostituto della base.
Come funziona il costo: il modello SCU
Qui sta la differenza più importante rispetto alle licenze a cui le PMI sono abituate. Security Copilot non si paga con una licenza per-utente al mese: usa un modello a consumo basato sulle SCU (Security Compute Unit).
Il meccanismo, in sintesi:
- Si provisiona una capacità di calcolo, misurata in SCU su base oraria.
- Si paga per la capacità attiva: le SCU si consumano finché la capacità è accesa.
- Si può scalare verso l’alto o il basso e spegnere quando non serve, riducendo l’esborso.
È un modello pay-as-you-go, nello spirito di altri consumi cloud Azure: flessibile, ma facile da sprecare se nessuno governa quanta capacità è accesa e per quanto tempo. Non esiste una “cifra giusta” universale: l’esborso dipende dalle SCU attivate e dalle ore di utilizzo reale.
Disciplina sui numeri: diffidare di chiunque vi dia un prezzo secco “al mese” per Security Copilot. Il costo è funzione delle SCU provisionate e del tempo in cui restano accese. La domanda corretta non è “quanto costa”, ma “quante SCU mi servono e chi le tiene sotto controllo”.
Per una PMI è un’arma a doppio taglio: ottimo perché si parte piccoli e si spegne; pericoloso perché, lasciato senza presidio, genera spesa senza che nessuno usi davvero il copilota.
Gli use-case concreti
Al netto del marketing, ecco dove Security Copilot fa una differenza misurabile:
Riassunto e triage degli incidenti
Davanti a un incident con decine di alert correlati, Copilot produce un riassunto in linguaggio naturale: cosa è successo, asset e identità coinvolti, timeline, azioni consigliate. Per il referente IT dell’esempio iniziale, significa passare da “ore di lettura tecnica” a “un quadro leggibile in minuti”.
Assistenza KQL
Le query KQL (Kusto Query Language) per interrogare Defender e Sentinel sono una barriera reale per chi non ha un analista dedicato. Copilot traduce la domanda in linguaggio naturale (“mostrami gli accessi anomali dell’utente X nelle ultime 48 ore”) in KQL funzionante, e sa spiegare cosa fa una query esistente. Abbatte una delle competenze più scarse nelle PMI.
Analisi di script sospetti
Quando si trova uno script PowerShell offuscato o una riga di comando ambigua, Copilot lo “spiega” passo per passo: cosa fa, se ha comportamenti malevoli, quali indicatori di compromissione contiene. È lo scenario di apertura: capire in fretta se quello script notturno è un attacco o una manutenzione legittima.
Supporto alla risposta e al reporting
Copilot aiuta a impostare i passi di remediation, a generare bozze di report per il management o gli adempimenti e a documentare l’indagine — riducendo il carico cognitivo nei momenti di stress, quando gli errori costano di più.
Quando ha senso per una PMI (taglio onesto)
Ecco la parte scomoda. Security Copilot non è un prodotto da comprare in autonomia “perché c’è l’AI”. Funziona quando esiste già qualcuno che lo usa quotidianamente dentro un processo di sicurezza. Per la maggioranza delle PMI italiane questo significa:
- Tramite partner o MSSP, non in proprio. Il modello sensato è accedervi attraverso un fornitore di cybersecurity gestita, dove la capacità SCU è condivisa, governata e usata da analisti tutti i giorni. Comprarlo e lasciarlo lì è il modo più rapido per bruciare budget.
- Solo se la base c’è già. Senza buona telemetria — Defender XDR attivo, identità su Entra, magari Sentinel dove serve — il copilota ha poco da raccontare. Prima si mette in ordine la postura (vedi come si legge e migliora il Secure Score), poi si aggiunge il copilota.
- Quando c’è un volume di eventi da gestire. Se gli alert reali sono pochi e gestibili a mano, Copilot risolve un problema che non avete. Ha senso dove il flusso di incident rende il triage un collo di bottiglia.
Due driver spingono molte PMI verso un presidio di sicurezza più strutturato, e di riflesso verso strumenti come Security Copilot tramite partner. Il primo è la scadenza NIS2 di dicembre 2026 e il suo effetto sulla filiera: anche aziende non soggette ricevono richieste di garanzie dai clienti più grandi. Il secondo è la cyber-insurance: le polizze chiedono capacità di detection e response documentata, e un servizio gestito che usa Copilot aiuta a soddisfare i requisiti assuntivi.
Disambiguazione: non è Sentinel, non è un SIEM
Confusione frequente: Security Copilot non è un SIEM e non sostituisce Microsoft Sentinel. Sono cose diverse e complementari:
- Sentinel raccoglie e correla i log, applica regole analitiche e genera gli incident: è l’infrastruttura di detection.
- Security Copilot è l’assistente AI che aiuta una persona a capire quegli incident, indagarli e rispondere più in fretta.
Prima viene la base (telemetria, e un SIEM come Sentinel se la dimensione lo giustifica), poi — eventualmente — il copilota sopra. Adottare Copilot senza una base solida è come assumere un analista brillante e non dargli dati da analizzare.
Quando ha senso un servizio gestito
Security Copilot, con il suo modello a consumo SCU e il valore che esprime solo dentro un processo, è un caso da manuale di tecnologia che rende tramite un servizio gestito e non in autoacquisto. Un fornitore di assistenza cybersecurity gestita può attivarlo solo quando serve, dimensionare le SCU, usarlo per triage e indagini al posto vostro e spegnerlo a vuoto — trasformando una spesa sprecabile in un costo proporzionato al valore.
Se invece vi manca la base — Defender configurato bene, identità in ordine, Secure Score in salute — un percorso di assistenza Microsoft 365 gestita mette in sicurezza le fondamenta su cui qualunque copilota poi lavora.
Per capire se Security Copilot ha senso nel vostro contesto, parla con un nostro consulente: valutiamo lo stato attuale e proponiamo solo ciò che produce valore reale.
Domande frequenti
Cos’è esattamente Security Copilot?
È l’assistente AI per la sicurezza di Microsoft: un copilota che aiuta i team a indagare incidenti, riassumere alert, scrivere query KQL e analizzare script sospetti in linguaggio naturale. Si integra con Defender XDR, Intune, Entra e Purview, e funziona sia come portale standalone sia incorporato (embedded) dentro i prodotti di sicurezza.
Quanto costa Security Copilot?
Il modello è a consumo, basato sulle SCU (Security Compute Unit): si provisiona una capacità oraria e si paga per l’uso, con la possibilità di scalare o spegnere la capacità. Non ci sono cifre fisse universali da citare: l’esborso dipende dalle SCU attivate e dalle ore di utilizzo. Per una PMI conviene farlo dimensionare da un partner, evitando di sovrastimare la capacità.
Una PMI piccola dovrebbe comprare Security Copilot in autonomia?
Raramente. Security Copilot dà valore quando esiste già un processo di sicurezza (un SOC interno o un MSSP) che lo usa quotidianamente. Per la maggior parte delle PMI italiane la strada sensata è accedervi tramite un partner o un servizio di cybersecurity gestita, dove la capacità SCU è condivisa e governata, anziché acquistarlo e lasciarlo inutilizzato.
Che differenza c’è tra Security Copilot e Microsoft Sentinel?
Sentinel è il SIEM/SOAR che raccoglie e correla i log e genera gli incident; Security Copilot è l’assistente AI che aiuta una persona a capire, indagare e rispondere più in fretta. Non sono alternativi: Copilot si appoggia ai dati di Defender, Sentinel ed Entra. Prima viene la base (telemetria, SIEM se serve), poi eventualmente il copilota sopra.