WitnessAI ha introdotto NER-D, un modello progettato per identificare informazioni sensibili nei flussi di lavoro AI usando il contesto della conversazione, non soltanto formati riconoscibili o regole statiche. Il nome sta per “Named Entity Recognition – Double pass” e indica un approccio orientato alla classificazione semantica delle entità, con l’obiettivo di capire che cosa rappresenta davvero un dato dentro una richiesta, una risposta o uno scambio tra utente e modello.
Il problema che NER-D prova ad affrontare è uno dei più complessi nella sicurezza dell’AI enterprise: molte informazioni sensibili non hanno una forma stabile. Un numero può essere un codice fiscale, un numero d’ordine, un importo in fattura, un ID cliente o un valore tecnico interno. Una parola apparentemente comune può essere un luogo geografico, il nome di una persona, un prodotto, un progetto confidenziale o un nome in codice. Senza contesto, un sistema di protezione rischia di bloccare troppo oppure di lasciare passare informazioni realmente critiche.
L’esempio più semplice è “Paris”. In una conversazione AI può indicare Parigi come città, Paris Hilton come persona pubblica oppure un progetto aziendale altamente riservato. Un controllo basato solo su liste, regex o dizionari non riesce a distinguere bene questi casi, perché vede una stringa, non il significato operativo che quella stringa assume nella conversazione. NER-D nasce proprio per colmare questa lacuna: leggere il contesto circostante, interpretare il ruolo dell’entità e decidere se quel contenuto debba essere trattato come sensibile.
La differenza rispetto ai sistemi DLP tradizionali è quindi sostanziale. Le tecnologie legacy sono state costruite soprattutto per dati strutturati o semi-strutturati, come numeri di carte, identificativi fiscali, credenziali, indirizzi email o pattern noti. L’AI generativa e gli agenti AI lavorano invece su linguaggio naturale, documenti, codice, riepiloghi, prompt lunghi, output intermedi e conversazioni dinamiche. In questo ambiente, un dato sensibile può essere parafrasato, abbreviato, tradotto, descritto indirettamente o incorporato in un ragionamento più ampio.
NER-D prova a spostare la protezione da una logica di pattern matching a una logica di comprensione semantica. Il modello valuta ciò che il dato significa nel contesto, non soltanto come appare. Questo permette di rilevare concetti proprietari, informazioni non presenti in liste predefinite e riferimenti mai visti prima, cioè proprio quelle categorie che i sistemi basati su regole faticano a intercettare. In un ambiente enterprise, questo è rilevante per nomi di progetto, codename, dati cliente, formule, strategie commerciali, pipeline finanziarie, dettagli sanitari, codice sorgente, contratti e informazioni regolamentate.
Il dato tecnico più importante è la velocità. WitnessAI dichiara che NER-D è oltre 20 volte più veloce rispetto a metodi generativi comparabili, perché non genera una risposta token per token ma classifica i concetti in un singolo passaggio parallelo. Questo punto è decisivo per l’uso in produzione: la protezione dei dati nelle conversazioni AI deve avvenire in tempo reale, mentre l’utente invia prompt, riceve risposte o usa un agente collegato a strumenti esterni. Se il controllo è troppo lento, diventa un collo di bottiglia e le aziende tendono a disattivarlo o aggirarlo.
Il modello punta quindi a risolvere il compromesso classico tra intelligenza e latenza. I modelli grandi sono più capaci di capire sfumature e contesto, ma spesso troppo lenti per analizzare ogni interazione AI in linea. I sistemi rapidi, invece, sono efficienti ma meno adatti a riconoscere significati ambigui o dati proprietari non standardizzati. NER-D combina conoscenza da LLM e velocità di produzione, cercando di rendere la classificazione contestuale compatibile con l’uso continuo nei workflow aziendali.
WitnessAI indica anche un miglioramento di accuratezza rispetto ai benchmark disponibili, con un vantaggio di 7,9 punti sul precedente miglior metodo valutato. Il miglioramento viene descritto come particolarmente forte sui tipi di dati complessi, dove la sola struttura non basta e serve una comprensione più fine dell’intento. Questo è un aspetto importante perché i falsi positivi sono uno dei principali problemi dei sistemi di data loss prevention: se un controllo segnala come sensibili troppi contenuti innocui, gli utenti lo percepiscono come un ostacolo e i team di sicurezza vengono sommersi da alert poco utili.
La riduzione dei falsi positivi è collegata proprio alla lettura del contesto. Un sistema tradizionale può scambiare un totale d’ordine, un numero di fattura o una sequenza tecnica per un identificativo personale, generando blocchi o avvisi non necessari. Un modello contestuale può invece valutare la frase, il tipo di conversazione, il ruolo del dato e il significato dell’entità. Questo permette di costruire policy meno rigide, ma più precise: non bloccare tutto ciò che somiglia a un dato sensibile, ma intervenire quando il contenuto è davvero rischioso nel contesto specifico.
Un altro elemento rilevante è la conoscenza dei formati e dei concetti di settore. NER-D viene descritto come capace di riconoscere categorie globali e domini specialistici, come formati di identificazione nazionale, composti farmaceutici e concetti di trading. Questo consente alle imprese di descrivere il tipo di informazione da proteggere invece di dover elencare manualmente ogni possibile variante. Per settori regolati come finanza, healthcare, farmaceutica, assicurazioni, energia e servizi professionali, questa flessibilità può fare la differenza tra una protezione gestibile e una configurazione impossibile da mantenere.
La disponibilità nella piattaforma WitnessAI è prevista nei prossimi mesi, con integrazione diretta nei workflow di protezione dati già presenti, tra cui redaction e tokenization. Questo significa che NER-D non nasce solo come motore di classificazione, ma come componente operativo dentro una pipeline di sicurezza: identificare il dato sensibile, decidere la policy da applicare, oscurarlo, sostituirlo con token o impedirne l’uscita verso modelli e applicazioni non autorizzate.
Il collegamento con la tokenization è particolarmente importante per l’AI aziendale. Invece di bloccare completamente una richiesta, un sistema può sostituire i dati sensibili con token o valori surrogate, mantenendo abbastanza struttura semantica per consentire al modello di lavorare. In questo modo l’utente può continuare a usare l’AI per analisi, sintesi, supporto operativo o automazione, ma senza inviare in chiaro informazioni riservate a un provider esterno o a un modello non controllato.
NER-D va quindi letto come una risposta alla trasformazione del perimetro di sicurezza. Con l’AI generativa e gli agenti, il rischio non è più solo il file allegato o il database esportato, ma il contenuto che entra e esce da conversazioni, copiloti, strumenti di coding, workflow automatici, browser agentici e integrazioni API. Ogni prompt può contenere dati riservati; ogni risposta può rivelare informazioni che non dovrebbero uscire; ogni agente può combinare frammenti innocui fino a ricostruire un contenuto sensibile.
Il valore di un modello come NER-D sta proprio nella capacità di osservare questi flussi in tempo reale e con più comprensione del significato. Non basta più sapere che una sequenza “sembra” un dato personale o che una parola compare in una lista vietata. Bisogna capire se, dentro quella conversazione, quel concetto rappresenta davvero un’informazione protetta, proprietaria o regolamentata. Per l’AI enterprise, questa distinzione diventa essenziale: senza rilevazione contestuale, le aziende rischiano di scegliere tra bloccare troppo e non proteggere abbastanza.
WitnessAI posiziona NER-D come un tassello della sicurezza AI-native, cioè una sicurezza progettata per ambienti in cui utenti e agenti interagiscono continuamente con modelli, file, applicazioni e dati aziendali. La novità non è soltanto riconoscere entità nominate, ma farlo a velocità compatibile con le conversazioni live e con la granularità necessaria per distinguere contenuti simili ma rischi molto diversi. In questo senso, il modello evidenzia una direzione chiara: la protezione dei dati nell’AI non può più basarsi solo su pattern, deve diventare semantica, contestuale e integrata nel runtime operativo.
