Ryzyko, które zatwierdziłeś, to nie ryzyko, które ponosisz
Większość zarządów wciąż wyobraża sobie ryzyko AI jako decyzję, którą podejmują: jaki model licencjonować, jakiemu dostawcy zaufać, jaką umowę podpisać. Ten obraz jest już błędny. Ekspozycja, która ma największe znaczenie, to ta, której nikt nie zatwierdził. Raport Verizon 2026 Data Breach Investigations Report wykazał, że regularne korzystanie z AI na firmowych urządzeniach wzrosło trzykrotnie w ciągu dwunastu miesięcy, z 15 do 45 procent pracowników, oraz że dwie trzecie tych osób sięga po narzędzia przez prywatne konta, które znajdują się całkowicie poza kontrolą przedsiębiorstwa.
To właśnie jest Shadow AI: sprawne oprogramowanie wdrażane szybciej, niż jakakolwiek polityka jest w stanie nadążyć. Jest dziś trzecim najczęstszym nieszkodliwym działaniem wewnętrznym, które systemy zapobiegania utracie danych oznaczają jako zagrożenie, co stanowi czterokrotny skok w ciągu jednego roku. Ludzie, którzy tak postępują, nie są nieostrożni. To produktywni pracownicy rozwiązujący realne problemy najlepszym narzędziem, jakie mają pod ręką. Właśnie dlatego notatka służbowa tego nie powstrzyma.
Twój kod źródłowy odchodzi jako pierwszy
Gdy ten sam raport uszeregował to, co pracownicy faktycznie wklejają do publicznych narzędzi AI, kod źródłowy przewodził każdej innej kategorii ze znaczną przewagą, wyprzedzając obrazy i dane ustrukturyzowane. Brutalny sposób odczytania tego wniosku jest następujący: kod źródłowy w publicznym modelu to własność intelektualna w cudzym potoku treningowym. Dla firmy, której przewaga tkwi w kodzie, logice cenowej lub rejestrach klientów, nie jest to hipoteza. To codzienny, niewidoczny transfer aktywów, za których ochronę Ci płacą.
Szkoda nie zapowiada się sama. Nie ma powiadomienia o naruszeniu, nie ma żądania okupu, nie ma dramatycznej awarii. Model po prostu staje się odrobinę lepszy w odtwarzaniu czegoś, co uważałeś za swoje, a pewnego dnia zapytanie konkurenta zwraca coś, co wydaje się znajome. Wówczas pytanie nie brzmi już, jak odzyskać dane. Brzmi ono, czy w ogóle jesteś w stanie udowodnić, że je utraciłeś.
Regulator już powiedział Ci, co masz zrobić
15 czerwca 2026 Europejski Inspektor Ochrony Danych na nowo zdefiniował Shadow AI jako problem zgodności, a nie problem działu wsparcia. Dane wprowadzone do niezatwierdzonych narzędzi wpadają w martwy punkt regulacyjny: brak ustaleń co do podstawy prawnej przetwarzania, brak jasności co do retencji, brak zabezpieczenia transferu międzynarodowego, brak przejrzystości co do tego, czy trenują one model. Zgodnie z RODO martwy punkt nie jest linią obrony. To otwarte ustalenie czekające na audytora.
Czego EDPS nie zalecił, to zakaz. Stwierdził, że odpowiedzią jest aktywne zarządzanie: określ, jakie użycie AI jest dozwolone, sklasyfikuj dane, które nigdy nie mogą opuścić firmy, egzekwuj kontrole techniczne i daj ludziom zatwierdzone narzędzie na tyle dobre, by przestali sięgać po to niezatwierdzone. Prohibicja zawodzi, ponieważ nie zmienia bodźca. Przenosi jedynie to samo zachowanie tam, gdzie już go nie widzisz.
Czytaj dalej: Twój agent AI może teraz wydawać twoje pieniądze. Trudna część to wszystko, co dzieje się później. · Sąd właśnie orzekł, że odpowiedzi twojej AI to twoje słowa. Odpowiedzialność teraz spoczywa na tobie.