Empresas financeiras reguladas pela FINRA devem garantir que qualquer ferramenta de IA usada por funcionários esteja em conformidade com as regras de manutenção de registros, supervisão e privacidade de dados. O Microsoft Copilot, quando integrado ao Microsoft 365, pode acessar dados confidenciais de clientes e gerar conteúdo sujeito a revisão regulatória. Sem a configuração adequada, o Copilot pode criar riscos de conformidade, incluindo comunicações não registradas ou compartilhamento não autorizado de dados. Este artigo explica as diretrizes específicas que você precisa implementar para que o Copilot funcione dentro das regras da FINRA, ao mesmo tempo em que oferece ganhos de produtividade.
Principais Conclusões: Conformidade do Copilot para Empresas FINRA
- Centro de administração do Microsoft 365 > Copilot > Fontes de dados: Restrinja o Copilot apenas a fontes de dados aprovadas do Microsoft Graph para evitar acesso a conteúdo não regulamentado.
- Portal de conformidade do Microsoft Purview > Conformidade de comunicação: Ative políticas de supervisão para capturar e revisar todo o texto e prompts gerados pelo Copilot.
- Centro de administração do Microsoft 365 > Copilot > Rótulos de sensibilidade: Aplique rótulos de sensibilidade automáticos à saída do Copilot para que o conteúdo regulamentado seja sempre marcado e retido.
Por que a Conformidade com a FINRA é Importante para o Copilot
A Regra 3110 da FINRA exige que as empresas supervisionem as comunicações relacionadas aos seus negócios. O Copilot pode gerar e-mails, resumos de reuniões e respostas de chat que se qualificam como comunicações comerciais. Se essas saídas não forem capturadas, arquivadas e revisáveis, a empresa viola as regras de manutenção de registros sob a SEC 17a-4 e a Regra 4511 da FINRA. Além disso, a Regra 2010 da FINRA exige altos padrões de honra comercial, o que significa que qualquer conteúdo gerado por IA enganoso ou impreciso pode expor a empresa a ações disciplinares.
O Copilot opera fundamentando respostas em dados do Microsoft Graph, como e-mails, documentos e entradas de calendário. Sem diretrizes, o Copilot pode puxar dados de fontes não aprovadas ou produzir conteúdo que não atende aos padrões de supervisão da empresa. A chave é configurar o Copilot para que ele acesse apenas dados que você aprovou e para que cada saída seja registrada para revisão de conformidade.
Principais Requisitos Regulatórios que Afetam o Copilot
Três regras da FINRA impactam diretamente como você deve configurar o Copilot:
- Regra 3110 da FINRA (Supervisão): Exige procedimentos de supervisão por escrito para todas as comunicações eletrônicas. A saída do Copilot deve estar sujeita à mesma revisão que qualquer e-mail ou chat.
- Regra 4511 da FINRA (Livros e Registros): Determina a retenção de registros comerciais por pelo menos três anos. O conteúdo gerado pelo Copilot deve ser arquivado em formato imutável.
- Regra de Marketing da SEC (se aplicável): Proíbe declarações enganosas em comunicações voltadas para clientes. O Copilot não deve produzir alegações exageradas sobre desempenho de investimentos ou serviços.
Passos para Configurar Diretrizes do Copilot para Conformidade com a FINRA
Os passos a seguir pressupõem que você tenha privilégios de administrador global ou de conformidade no Microsoft 365. Complete-os em ordem para minimizar riscos.
- Restrinja as fontes de dados do Copilot no centro de administração do Microsoft 365
Vá para Centro de administração do Microsoft 365 > Copilot > Fontes de dados. Em “Fontes de dados para o Copilot”, desmarque quaisquer fontes que não sejam aprovadas para uso comercial. Para empresas FINRA, habilite apenas dados do Microsoft Graph do Exchange Online, SharePoint Online e OneDrive for Business se esses repositórios já estiverem sob suas políticas de retenção e supervisão. Não habilite pesquisa web pública ou conectores de terceiros, a menos que você tenha validado que eles atendem aos requisitos da FINRA. - Ative políticas de conformidade de comunicação para o Copilot
No portal de conformidade do Microsoft Purview, vá para Conformidade de comunicação > Políticas. Crie uma nova política que inclua interações do Copilot como fonte. Selecione “Interações do Copilot” em “Escolher comunicações monitoradas”. Configure a política para capturar tanto prompts quanto respostas. Defina a frequência de revisão como em tempo real ou diária, com base nos procedimentos de supervisão da sua empresa. Atribua revisores que sejam registrados como diretores da FINRA. - Aplique rótulos de sensibilidade à saída do Copilot automaticamente
No Microsoft Purview, vá para Proteção de informações > Rotulagem automática. Crie uma política que aplique um rótulo de sensibilidade “Regulatório” a qualquer documento ou e-mail que contenha texto gerado pelo Copilot. Você pode detectar a saída do Copilot verificando tags de metadados ou usando classificadores treináveis que identificam linguagem gerada por IA. Isso garante que todo o conteúdo do Copilot seja marcado para retenção e não possa ser excluído prematuramente. - Configure rótulos de retenção para dados do Copilot
No Microsoft Purview, vá para Gerenciamento do ciclo de vida de dados > Rótulos de retenção. Crie um rótulo chamado “Registro FINRA” com um período de retenção de três anos. Publique o rótulo no Exchange, SharePoint e OneDrive. Em seguida, crie uma política de aplicação automática que aplique este rótulo a qualquer conteúdo onde o remetente ou criador seja uma conta de serviço do Copilot. Isso garante que todos os e-mails e documentos gerados pelo Copilot sejam mantidos pelo período exigido. - Desabilite o Copilot em aplicativos não monitorados
No centro de administração do Microsoft 365, vá para Configurações > Aplicativos integrados > Copilot. Em “Aplicativos onde o Copilot está disponível”, desmarque aplicativos que sua empresa não usa para comunicações comerciais. Por exemplo, desabilite o Copilot no chat do Microsoft Teams para canais internos que não estão sujeitos a supervisão. Mantenha o Copilot habilitado apenas no Outlook e no Word, onde suas políticas de conformidade já se aplicam. - Treine os funcionários sobre as regras de uso do Copilot
Publique uma política por escrito que declare: “Não use o Copilot para gerar conteúdo voltado para clientes sem aprovação do diretor. Não cole dados confidenciais de clientes em prompts do Copilot. Todas as interações com o Copilot são gravadas e sujeitas a revisão.” Exija que os funcionários reconheçam esta política anualmente. Use os caminhos de aprendizado do Microsoft 365 para fornecer um módulo de treinamento curto.
Se o Copilot Ainda Criar Lacunas de Conformidade
Mesmo com as diretrizes acima, alguns problemas podem aparecer. Abaixo estão os problemas mais comuns que empresas FINRA enfrentam e como resolvê-los.
Copilot gera dados financeiros imprecisos
O Copilot pode produzir números que parecem corretos, mas não estão. Por exemplo, pode resumir incorretamente o valor de uma carteira de cliente. Para evitar isso, adicione uma etapa de revisão humana em sua política de conformidade de comunicação. Configure a política para sinalizar qualquer conteúdo gerado pelo Copilot que inclua números ou porcentagens. Exija uma revisão de segundo nível antes que o conteúdo seja enviado a um cliente.
Supervisores não conseguem revisar interações do Copilot em tempo hábil
A Regra 3110.05 da FINRA exige que as revisões de supervisão ocorram dentro de um prazo razoável. Se sua equipe de conformidade estiver sobrecarregada, use os classificadores de aprendizado de máquina do Microsoft Purview para priorizar conteúdo de alto risco. Por exemplo, crie um classificador que detecte linguagem sobre transferências de conta ou garantias de desempenho. Esses itens vão para o topo da fila de revisão.
Funcionários contornam as restrições do Copilot usando contas pessoais
Se um usuário fizer login no Copilot com uma conta pessoal da Microsoft em um dispositivo de trabalho, a empresa perde o controle. Bloqueie isso configurando políticas de acesso condicional no Microsoft Entra ID. Vá para Centro de administração do Microsoft Entra > Proteção > Acesso condicional. Crie uma política que bloqueie o acesso ao Copilot de qualquer dispositivo que não esteja associado ao seu locatário do Microsoft 365. Também bloqueie contas pessoais de usar o Copilot em redes corporativas.
Copilot para Empresas FINRA: Principais Compensações
| Item | Acesso Total ao Copilot | Acesso Restrito ao Copilot |
|---|---|---|
| Fontes de dados | Todos os dados do Microsoft Graph mais web pública | Apenas Exchange Online e sites do SharePoint aprovados |
| Carga de supervisão | Alta – cada interação deve ser revisada manualmente ou por IA | Moderada – menos fontes reduzem o volume de revisão, mas ainda exigem política |
| Ganho de produtividade do funcionário | Máximo – funcionários podem consultar qualquer dado rapidamente | Reduzido – limitado a dados aprovados, mais lento, mas em conformidade |
| Risco de conformidade | Alto – dados não aprovados podem ser incluídos na saída | Baixo – apenas dados pré-aprovados são acessíveis |
| Complexidade de retenção | Complexa – deve rotular e reter todas as saídas de diversas fontes | Mais simples – menos tipos de dados para gerenciar |
Decida qual compensação se adequa ao apetite de risco da sua empresa. A maioria das empresas FINRA começa com acesso restrito e expande gradualmente após validar cada nova fonte de dados em relação às suas políticas de conformidade.
Agora você pode configurar o Copilot para operar dentro das diretrizes da FINRA, restringindo fontes de dados, ativando políticas de conformidade de comunicação e aplicando rótulos de sensibilidade. Comece com o processo de configuração de seis etapas no centro de administração do Microsoft 365 e no portal do Purview. Após a implantação, execute uma auditoria mensal das interações do Copilot usando o explorador de atividades do Purview para verificar se nenhuma fonte de dados não aprovada está sendo acessada. Para proteção avançada, considere usar os classificadores treináveis do Microsoft Purview para sinalizar automaticamente a saída do Copilot que contenha declarações prospectivas ou garantias de desempenho, que são de alto risco sob as regras da FINRA.