Sztuczna inteligencja na dobre weszła do codziennej pracy w polskich firmach, ale organizacje nie nadążają za tempem jej wykorzystania. Z raportu ESET i DAGMA Bezpieczeństwo IT wynika, że 62 proc. pracowników korzysta z AI, a ponad 1/3 byłaby gotowa obejść firmowe ograniczenia. Brak zasad i bezpiecznych narzędzi sprawia, że rośnie skala zjawiska shadow AI, co oznacza realne ryzyko w dziedzinie bezpieczeństwa.
Najnowsza edycja raportu „Cyberportret polskiego biznesu 2026” ujawnia, że polskie firmy mają poważny problem z kontrolą nad wykorzystaniem sztucznej inteligencji. Już 62 proc. pracowników deklaruje używanie narzędzi AI w ramach obowiązków służbowych, a 35 proc. przyznaje, że w przypadku ograniczeń – próbowałoby je obejść. Ponad jedna czwarta badanych wysłałaby wyniki pracy AI z prywatnego urządzenia na służbowy sprzęt. To wyraźny sygnał, że efektywność i wygoda stawiane są wyżej niż bezpieczeństwo.
Firmy nie posiadają odpowiednich regulacji. Tylko 27 proc. organizacji ma spisaną politykę korzystania z AI. Co dziesiąty pracownik przekazuje wrażliwe dane firmowe do publicznych modeli językowych, co grozi wyciekiem informacji, karami RODO i utratą tajemnicy handlowej. Mimo to jedynie 38 proc. firm wdrożyło korporacyjne rozwiązania AI, które zapewniają kontrolę nad danymi.
Shadow AI – cicha rewolucja w firmach
Zjawisko shadow AI polega na korzystaniu z niezatwierdzonych narzędzi sztucznej inteligencji bez wiedzy i zgody działów IT. Pracownicy sięgają po darmowe wersje ChatGPT, Claude czy Gemini, nie zdając sobie sprawy, że wpisywane tam treści mogą trafiać na serwery poza UE, być wykorzystywane do trenowania modeli lub udostępniane podmiotom trzecim. To nie tylko ryzyko naruszenia przepisów o ochronie danych, ale także realne zagrożenie dla przewagi konkurencyjnej.
– W świecie, w którym dane są jednym z najcenniejszych zasobów firmy, brak polityki AI to nie tylko luka organizacyjna, ale realne zagrożenie biznesowe. Punktem wyjścia powinno być zrozumienie skali zjawiska, a następnie wprowadzenie jasnych zasad – co wolno, czego nie wolno i przede wszystkim dlaczego. Bez wyjaśnienia powodów trudno oczekiwać, że pracownik zrozumie, iż wklejenie firmowych danych do publicznego modelu językowego może zagrozić bezpieczeństwu całej organizacji – mówi Dawid Koziorowski, offensive cybersecurity team leader w DAGMA Bezpieczeństwo IT.
Jak skutecznie przeciwdziałać shadow AI?
Autorzy raportu zalecają, aby zamiast totalnego zakazu, firmy postawiły na edukację i dostarczenie bezpiecznych alternatyw. Kluczowe jest wdrożenie korporacyjnych narzędzi AI, które przechowują dane w zamkniętym środowisku, podlegają audytom i nie wykorzystują wpisów do uczenia modeli. Równie ważne jest regularne monitorowanie ruchu sieciowego i wykrywanie nieautoryzowanych połączeń z zewnętrznymi API.
Raport „Cyberportret polskiego biznesu 2026” powstał na podstawie badania ilościowego zrealizowanego w marcu 2026 roku przez instytut ARC Rynek i Opinia na próbie 1026 Polaków pracujących przy komputerze co najmniej 3 dni w tygodniu. Jego premiera odbyła się 15 czerwca podczas konferencji CYBERSEC EXPO & FORUM.
Źródło: WNP.PL, Fot. Materiały prasowe / ESET