80% Twoich pracowników już używa AI bez Twojej zgody

Marcin Sarnowski

Twoi pracownicy korzystają z ChatGPT, Claude, Gemini - często wklejając tam firmowe dokumenty, dane klientów, kod źródłowy. Bez Twojej wiedzy. Bez żadnych zabezpieczeń. To się nazywa Shadow AI.

Skala problemu w Polsce

StatystykaWartość
Pracownicy używający GenAI bez zgody pracodawcy80%
Pracownicy używający AI bez wiedzy działu IT70%
Pracownicy udostępniający AI dane wrażliwe19-22%
Dyrektorzy używający niezatwierdzonych narzędzi AI93%

To nie pracownicy liniowi są problemem. 93% dyrektorów też używa Shadow AI.

Jak to działa

  1. Pracownik chce skończyć raport szybciej
  2. Wkleja dane do ChatGPT
  3. Używa prywatnego konta na prywatnym laptopie
  4. Dział IT nie ma żadnej widoczności

Dane firmowe właśnie wyciekły. A Ty nawet nie wiesz, że to się stało.

Konsekwencje

RyzykoCo to oznacza
Utrata własności intelektualnejTwoje know-how staje się częścią modelu AI
Naruszenie RODODane osobowe poza kontrolą firmy, często poza EOG
Ekspozycja na atakiPhishing, prompt injection, deepfake
Odpowiedzialność prawnaPod AI Act firma odpowiada za użycie AI przez pracowników

Średni koszt naruszenia danych związanego z AI: 650 000 USD (IBM 2025).

Dlaczego zakazy nie działają

Całkowity zakaz AI to najgorsze rozwiązanie:

  • Pracownicy i tak będą używać (VPN, prywatne urządzenia)
  • Stracisz przewagę konkurencyjną
  • Zepchniesz problem pod dywan

Tylko 3% polskich firm ma dojrzałość cybernetyczną pozwalającą na obronę przed atakami wspieranymi przez AI.

Co robić

1. Polityka AI (nie zakaz)

  • Jasne zasady: co wolno, czego nie
  • Jakie dane można wklejać, jakich nigdy
  • Zatwierdzone narzędzia vs zakazane

2. Bezpieczne alternatywy

  • ChatGPT Enterprise / Microsoft Copilot - dane nie trenują modelu
  • Self-hosted LLM (Llama) dla wrażliwych danych
  • Narzędzia z compliance (audit trail, retencja)

3. Discovery - co już jest używane

  • Monitoring ruchu sieciowego do AI APIs
  • Inwentaryzacja używanych narzędzi
  • Rozmowy z zespołami (bez polowania na czarownice)

4. Partnership, nie policing

  • Szkolenia zamiast kar
  • Łatwy proces zgłaszania nowych narzędzi
  • Pokazanie korzyści z oficjalnych rozwiązań

Struktura polityki AI

1. Dozwolone narzędzia (lista)
2. Zabronione praktyki (dane osobowe, kod, umowy)
3. Procedura zatwierdzania nowych narzędzi
4. Obowiązkowe szkolenia
5. Monitorowanie i audyt
6. Konsekwencje naruszeń

Kluczowe wnioski

  • 80% pracowników już używa AI - pytanie tylko czy wiesz o tym
  • Zakaz nie działa - wymusza ukrywanie, nie eliminuje problemu
  • Polityka + bezpieczne alternatywy to jedyne skuteczne podejście

Shadow AI to nie problem do rozwiązania jutro. To problem, który eskaluje każdego dnia. Im dłużej zwlekasz z polityką AI, tym więcej danych wyciekło.

Zamów politykę AI dla firmy

Źródła: Delinea 2025, ESET, NASK, raporty branżowe

Powiązane artykuły

AI Act 2025 - kary i obowiązki

Od lutego 2025 wchodzą zakazy. Maksymalna kara: 35 mln EUR. Co musisz wiedzieć?

Dlaczego 95% projektów AI upada

Tylko 5% wdrożeń GenAI przynosi ROI. Poznaj główne przyczyny porażek.