W wielu firmach sztuczna inteligencja już działa. Tylko nie zawsze tam, gdzie myśli zarząd. I nie zawsze w sposób, który ktoś formalnie zatwierdził.

Pracownicy korzystają z ChatGPT, Gemini, Copilota i dziesiątek innych narzędzi, bo widzą w nich prostą korzyść: szybciej napisać maila, przygotować ofertę, streścić dokument, poprawić tekst, wygenerować grafikę, przeanalizować dane albo znaleźć inspirację do prezentacji.

Najczęściej nie ma w tym złej woli. Jest presja czasu, potrzeba efektywności i naturalna ciekawość nowych narzędzi. Problem zaczyna się wtedy, gdy organizacja nie wie, gdzie AI jest używane, do czego służy i jakie dane do niego trafiają.

To właśnie jest Shadow AI - sztuczna inteligencja używana poza wiedzą, kontrolą lub formalną zgodą organizacji.

AI nie czeka na politykę firmy

Wdrożenia technologii kiedyś wyglądały inaczej. Firma wybierała system, podpisywała umowę, robiła szkolenie, nadawała dostępy i dopiero wtedy pracownicy zaczynali korzystać z narzędzia.

W przypadku AI ten porządek często się odwrócił.

Najpierw pracownicy zaczęli eksperymentować. Dopiero później firmy zaczęły pytać, czy mają politykę AI, rejestr narzędzi, zasady bezpieczeństwa, procedury akceptacji i dowody przeszkolenia zespołu.

Dlatego Shadow AI jest tak trudne do uchwycenia. Nie zawsze widać je w budżecie, umowach czy systemach IT. Czasem jest po prostu w przeglądarce pracownika, prywatnym koncie, wtyczce do przeglądarki albo funkcji AI ukrytej w narzędziu, z którego firma korzystała już wcześniej.

Największym ryzykiem nie jest samo AI

W dyskusji o sztucznej inteligencji łatwo popaść w skrajności. Jedni widzą w niej głównie zagrożenie, inni wyłącznie szansę. W praktyce największym problemem nie jest samo używanie AI, ale używanie go bez zasad.

Firma może mieć pracowników, którzy codziennie korzystają z AI, a jednocześnie nie mieć żadnej wiedzy o tym, jakie narzędzia są używane, w jakich procesach, na jakich danych i z jakim wpływem na klientów, kandydatów, pracowników czy decyzje biznesowe.

To tworzy niebezpieczną lukę. Organizacja formalnie nie zarządza czymś, co realnie wpływa na jej sposób działania.

W kontekście AI Act to szczególnie ważne. Podejście regulacyjne opiera się na ryzyku, a ryzyka nie da się ocenić, jeśli firma nie wie, gdzie AI faktycznie występuje. Nie wystarczy więc ogólna deklaracja, że „korzystamy z AI” albo „pracownicy mają dostęp do narzędzi”. Trzeba zrozumieć konkretne zastosowania.

Inne znaczenie ma użycie AI do poprawienia stylu wewnętrznej notatki, a inne do analizy CV, obsługi reklamacji, tworzenia komunikacji do klientów albo wspierania decyzji dotyczących ludzi. Ta sama technologia może być neutralnym usprawnieniem w jednym miejscu i istotnym ryzykiem w innym.

Pierwszy krok: zobaczyć, gdzie AI już działa

Firmy często chcą zaczynać od dużych dokumentów: polityki AI, strategii, procedur, regulaminów. To ważne elementy, ale same dokumenty nie rozwiążą problemu, jeśli powstaną w oderwaniu od rzeczywistości.

Pierwszy krok powinien być prostszy: sprawdzić, gdzie AI jest już używane.

Nie po to, żeby od razu wszystko blokować. I nie po to, żeby szukać winnych. Chodzi o zbudowanie realnego obrazu sytuacji. Dopiero wtedy można zdecydować, które narzędzia dopuścić, które ograniczyć, które wymagają dodatkowej analizy, a których nie powinno się używać w firmie.

Taki pierwszy rejestr AI nie musi być idealny. Powinien jednak odpowiedzieć na kilka podstawowych pytań: z jakiego narzędzia korzystamy, w jakim celu, w którym dziale, na jakich danych i kto odpowiada za ten proces.

To wystarczy, żeby przejść z poziomu domysłów do zarządzania.

Shadow AI a odpowiedzialność firmy

Największym błędem jest założenie, że skoro narzędzie jest używane indywidualnie przez pracownika, to ryzyko również jest wyłącznie indywidualne.

W rzeczywistości skutki mogą dotyczyć całej organizacji.

Jeżeli do zewnętrznego narzędzia AI trafiają dane klienta, fragment umowy, dokument rekrutacyjny, raport finansowy albo wewnętrzna strategia, firma może mieć problem nie dlatego, że ktoś użył nowoczesnej technologii, ale dlatego, że nie miała jasnych zasad jej używania.

Podobnie jest z jakością. AI może pomóc przygotować treść, analizę czy rekomendację, ale wynik nadal wymaga odpowiedzialnej oceny człowieka. Bez tego łatwo o błędne informacje, nieuprawnione wnioski albo decyzje podejmowane na podstawie materiału, którego nikt rzetelnie nie zweryfikował.

Shadow AI pokazuje więc nie tylko problem technologiczny. Pokazuje problem zarządczy.

AI Act wymusza porządek

AI Act nie oznacza, że każda firma musi nagle stać się firmą technologiczną. Oznacza jednak, że organizacje powinny świadomie podchodzić do sposobu, w jaki używają systemów AI.

W praktyce oznacza to konieczność uporządkowania kilku obszarów: kompetencji pracowników, zasad korzystania z AI, oceny ryzyk, wiedzy o używanych narzędziach i dokumentowania podjętych działań.

To właśnie tutaj Shadow AI staje się jednym z najważniejszych tematów. Bo jeśli firma nie wie, z jakich narzędzi AI korzystają jej zespoły, trudno mówić o realnej gotowości na wymagania regulacyjne.

Nie da się przygotować organizacji do AI Act wyłącznie prezentacją dla zarządu albo jednorazowym szkoleniem. Potrzebny jest proces, który pozwala zobaczyć, uporządkować i udokumentować wykorzystanie AI w firmie.

Gdzie w tym pomaga AI TrustCERT?

AI TrustCERT został stworzony właśnie po to, żeby pomóc firmom przejść od niekontrolowanego, rozproszonego użycia AI do uporządkowanego modelu działania.

To nie jest tylko szkolenie o sztucznej inteligencji. To praktyczny sposób na zbudowanie podstawowej gotowości organizacji: od świadomości pracowników, przez zasady korzystania z AI, po rejestr narzędzi, akceptacje, ocenę ryzyk i raport gotowości.

Dzięki temu firma może odpowiedzieć na pytania, które w kontekście AI Act będą coraz ważniejsze:

  • czy wiemy, gdzie używamy AI?
  • czy pracownicy znają zasady?
  • czy mamy potwierdzenia i dowody działań?
  • czy potrafimy pokazać, że temat został uporządkowany?

Bo w praktyce nie chodzi o to, żeby bać się AI.

Chodzi o to, żeby nie udawać, że firma ma nad nim kontrolę, jeśli nie wie, gdzie ono już działa.

Podsumowanie

Shadow AI to jedna z najważniejszych luk w przygotowaniu firm do AI Act. Nie dlatego, że pracownicy korzystają z AI, ale dlatego, że często robią to szybciej, niż organizacja zdążyła stworzyć zasady.

Firmy, które chcą odpowiedzialnie korzystać ze sztucznej inteligencji, powinny zacząć od prostego pytania: gdzie AI jest już obecne w naszej codziennej pracy?

Dopiero potem można budować polityki, szkolenia, rejestry, ocenę ryzyka i raportowanie.

Największym ryzykiem nie jest dziś samo AI. Największym ryzykiem jest brak wiedzy, jak naprawdę jest używane.

AI TrustCERT pomaga tę lukę zamknąć - krok po kroku, w sposób uporządkowany i możliwy do udokumentowania.

Źródła

  1. EUR-Lex - Regulation (EU) 2024/1689, Artificial Intelligence Act. Oficjalny tekst rozporządzenia ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji: eur-lex.europa.eu
  2. Komisja Europejska - Regulatory framework for AI. Opis ram regulacyjnych AI Act oraz harmonogramu stosowania przepisów: digital-strategy.ec.europa.eu
  3. Komisja Europejska - AI Literacy - Questions & Answers. Wyjaśnienie obowiązku zapewnienia odpowiedniego poziomu kompetencji AI (art. 4 AI Act): digital-strategy.ec.europa.eu
  4. Materiały wewnętrzne AI TrustCERT - workbook / plan startowy: rejestr narzędzi AI, identyfikacja Shadow AI, klasyfikacja zastosowań i ryzyk.