Em janeiro de 2026, organizações que utilizam o Microsoft 365 descobriram que o Copilot Chat estava a resumir emails marcados como confidenciais — mesmo quando as políticas de Prevenção de Perda de Dados (DLP) estavam explicitamente configuradas para o impedir. O bug foi reportado por clientes a 21 de janeiro. A Microsoft reconheceu-o no início de fevereiro num aviso rastreado como CW1226324.

O que aconteceu

O Microsoft 365 utiliza etiquetas de sensibilidade (por ex., «Confidencial», «Altamente Confidencial») e políticas DLP via Microsoft Purview para controlar como os dados fluem dentro de uma organização. A expetativa: se um email estiver etiquetado como confidencial, as ferramentas de IA não devem processá-lo.

A realidade: um defeito no código fez com que o Copilot Chat recolhesse itens das pastas Itens Enviados e Rascunhos independentemente das suas etiquetas de sensibilidade. A IA resumia emails confidenciais a pedido, servindo o conteúdo através do separador «Trabalho» do Copilot Chat.

A própria documentação da Microsoft já afirma que as etiquetas de sensibilidade não se aplicam de forma consistente em todas as superfícies do Copilot — uma ressalva que muitos administradores podem não ter notado.

O ângulo da soberania

Este incidente não se trata de um único bug. Ilustra um problema estrutural: as organizações que externalizam comunicações críticas para uma plataforma de IA na nuvem não podem verificar independentemente a que essa IA acede. As políticas DLP são uma promessa contratual e técnica — mas quando a IA é de código fechado, funciona na infraestrutura de outrem e é atualizada ao critério do fornecedor, a organização não tem forma de auditar o cumprimento em tempo real.

Para organizações europeias já a operar sob o risco jurisdicional do CLOUD Act, isto acrescenta uma segunda camada de preocupação: não apenas quem pode legalmente aceder aos seus dados, mas que funcionalidades de IA os estão silenciosamente a processar.

A Microsoft implementou desde então uma atualização de configuração. Mas o incidente durou semanas antes de ser reconhecido — semanas durante as quais conteúdo confidencial estava a ser processado por um modelo de IA sem autorização.

O que as organizações podem fazer

  • Auditar o comportamento real do Copilot, não apenas a configuração da sua política. Os dois não correspondem necessariamente.
  • Testar políticas DLP contra superfícies de IA especificamente — as etiquetas de sensibilidade que funcionam no Outlook podem não se aplicar no Copilot Chat, Teams ou outras experiências conectadas.
  • Avaliar se as funcionalidades de IA devem estar ativadas para categorias de comunicação sensíveis. O padrão no Microsoft 365 é a adesão por implementação, não a adesão pelo utilizador.
  • Considerar a assimetria de controlo. Numa pilha open-source auto-alojada, um bug como este pode ser encontrado lendo o código-fonte. Numa plataforma SaaS proprietária, fica-se a saber quando o fornecedor decide informar.

O que se segue

Este incidente é um lembrete: quando se entregam dados de comunicação a uma IA de código fechado, confia-se que essa IA respeite as suas políticas — mas não se pode verificar que o faz. O bug existiu durante semanas antes de alguém notar. Dados confidenciais foram processados sem autorização, e a única razão pela qual sabemos é porque a Microsoft decidiu divulgar.

As organizações têm três respostas realistas:

Esta semana (esforço mínimo):

  • Desativar o Copilot para utilizadores que lidam com dados sensíveis. Nem todas as licenças Microsoft 365 incluem Copilot — audite quem tem acesso e revogue-o para funções que lidam com informação confidencial.
  • Ativar o DLP do Purview para o Copilot explicitamente. Não confie na configuração padrão. Teste-a.
  • Assumir que qualquer email processado pelo Copilot pode ser acedido pela Microsoft. Se isso for inaceitável, não utilize o Copilot para comunicação sensível.

Este mês (projeto de infraestrutura):

  • Implementar uma IA de sumarização auto-alojada. Um LLM local em infraestrutura interna — utilizando modelos open-weight como Mistral 7B ou LLaMA 3.1 8B — funciona nos seus servidores, sob o seu controlo. A IA processa os seus dados, não os da Microsoft. Ferramentas como vLLM e Ollama tornam a implementação simples num único servidor GPU.

Este trimestre (decisão estratégica):

  • Reconsiderar o pacote Microsoft 365. O Copilot é vendido como parte do Microsoft 365, mas o compromisso de segurança é explícito: está a adicionar uma camada de IA que processa tudo no seu tenant. Para organizações com requisitos genuínos de soberania de dados, a alternativa não é «sem IA» — é IA na sua infraestrutura, com modelos open-weight, sob a sua jurisdição.

O incidente do Copilot será esquecido no próximo mês. A próxima surpresa de IA não será. As organizações que se preparam agora não terão de explicar uma violação de dados depois.

Fontes