Fałszywe CV, deepfake na rozmowie i syntetyczne tożsamości. Polskie firmy muszą się bronić!

• Fałszywe CV i deepfake w służbie oszustów rekrutacyjnych
• Skala problemu
• Skąd przychodzą fałszywe aplikacje
• Polska pod ostrzałem
• Czym to grozi pracodawcom
• Jak się bronić

Fałszywe CV i deepfake w służbie oszustów rekrutacyjnych

Podczas niedawnego AI HR Forum w Warszawie miałem okazję rozmawiać z przedstawicielem firmy dostarczającej rozwiązania ATS (Applicant Tracking System) dla polskiego rynku. Opowiedział o zjawisku, które jeszcze dwa lata temu praktycznie nie występowało: jego klienci coraz częściej zgłaszają problem fałszywych CV. I to, nie zwykłego zawyżania kompetencji, lecz całkowicie syntetycznych aplikacji, generowanych przez sztuczną inteligencję i wspieranych technologią deepfake. Przyjrzyjmy się bliżej temu zjawisku.

Kłamstwo w CV niegdyś ograniczało się do zawyżania ocen na dyplomie lub dopisywania nieistniejących umiejętności. Dziś modele językowe pozwalają tworzyć życiorysy idealnie dopasowane do algorytmów systemów selekcji. Według badań branżowych ponad połowa kandydatów na świecie przyznaje się do używania narzędzi AI przy tworzeniu aplikacji, co sprawia, że tradycyjne wskaźniki autentyczności przestają pełnić swoją rolę.

Skala problemu

W 2023 r. liczba wykrytych incydentów związanych z technologią deepfake wzrosła dziesięciokrotnie rok do roku. Gartner, amerykańska firma analityczna zajmująca się rynkiem technologii i biznesu,  prognozuje, że do 2028 r. co czwarty profil kandydata na globalnym rynku pracy może być sfałszowany. Deepfake, połączenie terminów „deep learning” i „fake”, pozwala generować syntetyczne twarze i głosy nierozróżnialne od rzeczywistych. Stworzenie przekonującego wizerunku zajmuje dziś mniej niż 70 minut.

W Polsce problem potęguje niska świadomość zagrożeń. Z raportu „Cyberportret polskiego biznesu 2025” (ESET i DAGMA) wynika, że 58 proc. polskich pracowników nie wie, czym jest deepfake, a ponad połowa nie przeszła żadnego szkolenia z cyberbezpieczeństwa w ciągu pięciu lat.

Skąd przychodzą fałszywe aplikacje

Wśród sprawców można wyróżnić kilka grup. Najpospolitsza to indywidualni kandydaci zawyżający kompetencje, by uzyskać wyższe wynagrodzenie lub zdobyć posadę, do której nie mają kwalifikacji. Część z nich praktykuje tzw. polyworking, czyli  jednoczesne utrzymywanie kilku pełnoetatowych prac zdalnych, co bez fałszywych tożsamości i technologii proxy byłoby niemożliwe do ukrycia. Chociaż ta grupa działa z pobudek finansowych, jej skala jest znaczna szacuje się, że bez automatycznych narzędzi weryfikacji zespoły HR musiałyby poświęcać dodatkowe cztery tygodnie robocze rocznie na manualne odsiewanie aplikacji generowanych przez AI.

Najbardziej wyrafinowane zagrożenie płynie jednak ze strony podmiotów państwowych. FBI i Departament Sprawiedliwości USA ujawniły, że Korea Północna (KRLD) stworzyła globalną infrastrukturę infiltracji zachodnich firm IT. Agenci pozyskują dane osobowe obywateli krajów zachodnich, współpracują z osobami tworzącymi tzw. farmy laptopów w krajach docelowych i używają nakładek deepfake podczas rozmów rekrutacyjnych. Amazon zablokował od kwietnia 2024 r. ponad 1800 takich prób, a w jednym z rozbitych schematów agenci KRLD zdołali zinfiltrować ponad 300 amerykańskich firm, generując przychód rzędu 6,8 mln dolarów.

Polska pod ostrzałem

Polska, będąca jednym z największych hubów IT w Europie Środkowo-Wschodniej, stała się naturalnym celem cyfrowych oszustów. Specyfika polskiego rynku IT, wysoka podaż kontraktów B2B i powszechność w pełni zdalnych rekrutacji, tworzy idealne warunki dla tego rodzaju manipulacji.

W jednym z głośnych incydentów z lat 2024–2025 polska firma technologiczna przeprowadziła rozmowy online z dwoma kandydatami, nie orientując się, że ich wizerunek był generowany w czasie rzeczywistym. Proces onboardingu nie przewidywał żadnego spotkania stacjonarnego, od podpisania umowy po wysłanie sprzętu, wszystko odbyło się w sferze cyfrowej. Celem oszustów było uzyskanie uprawnień administratora w celu kradzieży kodu źródłowego i danych klientów.

Instytucje finansowe zaczęły reagować. Przykładowo Alior Bank ostrzega klientów przed oszustami wykorzystującymi fałszywą tożsamość i wideorozmowy oraz zaleca dodatkową weryfikację rozmówcy.. Agencje rekrutacyjne podkreślają, że tradycyjna weryfikacja referencji telefoniczną rozmową z byłym pracodawcą przestaje wystarczać w konfrontacji z technologią deepfake.

Czym to grozi pracodawcom

Konsekwencje wykraczają daleko poza konieczność ponownej rekrutacji. Dla firm z sektora regulowanego oznacza to kary regulacyjne, utratę reputacji i kradzież własności intelektualnej. W polskim porządku prawnym fałszywe CV może stanowić podstawę zwolnienia dyscyplinarnego (art. 52 k.p.). Fałszerstwo dokumentów podlega sankcji z art. 270 k.k. (do pięciu lat pozbawienia wolności), a użycie AI do podszywania się pod inną osobę może wyczerpywać znamiona kradzieży tożsamości (art. 190a k.k.) i oszustwa (art. 286 k.k.).

Tabela: konsekwencje prawne fałszerstw rekrutacyjnych

Jak się bronić

Tradycyjna rozmowa wideo nie jest już wystarczającym dowodem tożsamości. Pierwszą linią obrony stają się systemy detekcji żywotności (liveness detection) analizujące mikrosygnały: teksturę skóry, odbicia światła w oczach, mikroekspresje. Proste testy, prośba o szybki obrót głowy czy podniesienie dłoni do twarzy, potrafią wywołać artefakty w nałożonym obrazie.

W branży IT kluczowe jest sprawdzenie realnych umiejętności: sesje programowania na żywo z udostępnionym ekranem, weryfikacja historii repozytoriów na GitHubie pod kątem nagłych przyrostów kodu, a także technologia zdecentralizowanej tożsamości cyfrowej (Verified ID). W przypadku stanowisk z dostępem do wrażliwych danych lub infrastruktury niezastąpione pozostaje choćby jednorazowe spotkanie stacjonarne, nawet w modelu w pełni zdalnym obowiązkowa wizyta w biurze lub u notariusza drastycznie redukuje ryzyko.

Nowoczesne systemy ATS ewoluują w kierunku platform bezpieczeństwa, zamiast prostego wyszukiwania słów kluczowych analizują kontekst semantyczny i rozpoznają, czy opisane doświadczenie jest spójne logicznie. Istotne jest podejście „human-in-the-loop”, AI pełni rolę asystenta, nie sędziego.

## Granice prawne weryfikacji

Intensyfikacja weryfikacji musi mieścić się w granicach prawa. Art. 22 Kodeksu pracy pozwala żądać od kandydata jedynie ściśle określonego katalogu danych. Dane biometryczne, traktowane przez RODO jako szczególna kategoria, wymagają dobrowolnej, świadomej zgody kandydata. UODO stoi na stanowisku, że biometria może być dopuszczalna w celach bezpieczeństwa, ale narzędzia detekcji deepfake’ów muszą być wdrażane z zachowaniem zasady minimalizacji danych.

## Zaufanie wymaga weryfikacji

Masowość oszustw sprawia, że dotychczasowe metody selekcji stają się anachroniczne. Konieczna jest strategia oparta na czterech filarach: technologii (inteligentne systemy ATS i detekcja deepfake’ów), multimodalnej weryfikacji (połączenie automatycznej analizy z testami kompetencyjnymi i weryfikacją referencji u poprzednich pracodawców), higienie prawnej (procedury kryzysowe na wypadek fraudu tożsamościowego i zgodność z RODO) oraz świadomości ludzkiej (regularne szkolenia zespołów z zakresu socjotechniki i rozpoznawania anomalii w zachowaniu cyfrowym).