Bug no Microsoft Copilot: o que escritórios contábeis devem fazer agora

Por que isso importa agora

Em fevereiro de 2026 foi confirmado um bug no Microsoft 365 Copilot (service advisory CW1226324) que permitiu ao recurso de chat resumir e-mails marcados como confidenciais, passando por cima de políticas de DLP e labels de sensibilidade em algumas condições. Para escritórios contábeis que tratam de folhas, contratos, relatórios fiscais e correspondência sensível, isso não é um detalhe técnico: é um risco direto à proteção de dados dos clientes.

O que aconteceu (em poucas palavras)

O Copilot Chat, na aba “Work”, começou a indexar itens salvos em Sent Items e Drafts mesmo quando esses e‑mails tinham labels de confidencialidade. A Microsoft atribuiu o problema a um erro de código e passou a instalar um fix server‑side no começo de fevereiro; a maioria dos ambientes já recebeu remediação, mas o rollout foi gradual e a empresa não divulgou um relatório forense público com a lista completa de tenants afetados. Fonte: reportagens técnicas e o advisory da Microsoft.

Por que este incidente afeta diretamente escritórios contábeis

• Documentos e e‑mails sensíveis circulam rotineiramente (contratos, planejamentos tributários, dados de folha, informações patrimoniais).
• Contadores hospedam caixas postais e documentos em ambientes Microsoft 365 comuns; muitos times já ativaram Copilot para ganhar produtividade.
• Em falta de logs ou prova de impacto, escritórios podem ter obrigações legais de notificação ou risco de sanções se dados regulados foram processados indevidamente.

O que fazer agora — plano prático em 7 passos (priorize já)

1. Verifique o painel de administração do Microsoft 365. Procure por advisories relacionados a CW1226324 e confirme se a Microsoft já marcou seu tenant como remediado.
2. Exporte e preserve logs imediatamente. Faça content search e extraia logs de auditoria do período entre 21 de janeiro e início de fevereiro de 2026 para mailboxes de alto risco (diretoria, jurídico, RH, clientes relevantes). Coloque tudo sob retenção legal se houver qualquer possibilidade de exposição.
3. Mapeie caixas postais críticas. Liste contas de sócios, diretoria, departamento fiscal e pastas compartilhadas que contenham dados sensíveis. Priorize checagens manuais nessas caixas.
4. Implemente controles compensatórios. Se não verificou a remediação ainda, desative temporariamente o Copilot Chat para grupos sensíveis; bloqueie o acesso de Copilot a caixas postais privilegiadas até ter confirmação escrita da Microsoft.
5. Comunique clientes de alto risco com transparência. Para clientes que possam ter seus dados processados (ex.: processos fiscais, documentos jurídicos), prepare um script curto explicando o que foi detectado, as medidas tomadas e os próximos passos para auditoria/mitigação — evite alarmismo, priorize fatos e evidências.
6. Solicite esclarecimentos formais ao fornecedor. Peça à Microsoft um comunicado escrito sobre seu tenant (status de remediação), quais itens foram processados, e se há logs exportáveis que comprovem a não‑inclusão em pipelines de treino. Documente as respostas como evidência para compliance.
7. Reforce contratos e avisos de privacidade. Atualize cláusulas sobre uso de ferramentas de IA — inclua responsabilidade por configuração, obrigação de notificação de incidentes e exigência de prova técnica em caso de falha de fornecedor.

Como organizar essa resposta operacional em 30 dias

Divida responsabilidades: TI executa checagens e logs; Compliance/Jurídico avalia obrigações de notificação; Contabilidade e gerência comunicam clientes. Estabeleça um pacote de entregáveis: (1) relatório de verificação do tenant; (2) inventário de caixas postais avaliadas; (3) evidências exportadas; (4) comunicação padronizada para clientes; (5) atualização contratual mínima — entregue em até 30 dias.

O lado humano — confiança, comunicação e reputação

Além da técnica, há impacto em confiança. Clientes esperam que o escritório proteja sua intimidade financeira. A comunicação transparente (sem pânico) constrói credibilidade. Treine sócios para explicar, em linguagem simples, o que foi feito para checar e mitigar riscos. A responsabilidade percebida conta tanto quanto as ações técnicas.

O que isso revela sobre governança de IA em escritórios contábeis

O incidente mostra dois pontos estratégicos:

• Controles vendor‑agnósticos são essenciais: não basta confiar em labels; é preciso monitoramento independente, logs e evidência de cobertura.
• Arquitetura de confiança precisa de fail‑closed: pipelines de extração devem negar acesso quando houver discrepância entre política e execução, não assumir que labels serão sempre respeitados.

Em outras palavras: automação sem evidência converte risco em passivo. Escritórios que formalizarem provas — quem acessou o quê, quando e por qual razão — estarão prontos para auditorias, clientes e regulação.

Recomendações finais e checklist rápido

• Checar advisory CW1226324 no admin center.
• Exportar logs de auditoria e guardar em repositório imutável.
• Desabilitar Copilot para mailboxes sensíveis até confirmação.
• Comunicar clientes prioritários com roteiro preparado.
• Atualizar contratos e planos de resposta a incidentes incluindo IA.

Quer ajuda para executar esse plano? A Morph ajuda escritórios contábeis a montar playbooks de incident response para IA: desde checagem técnica do tenant até comunicação legal e atualização contratual.

Fontes

• BleepingComputer — Microsoft says bug causes Copilot to summarize confidential emails (Feb 18, 2026).
• Yahoo/Tech — Microsoft Confirms Copilot Bug Let AI Summarize Confidential Emails (Feb 20, 2026).
• Dataconomy — Microsoft bug allowed Copilot to summarize confidential emails (Feb 19, 2026).
• Tom’s Guide — Microsoft confirms Copilot bug let its AI read sensitive and confidential emails (Feb 19, 2026).
• Office365ITPros — DLP policy for Copilot bug (Feb 13, 2026).