Pracownicy nie chcą rezygnować z AI nawet, gdy firma tego zakazuje. Czasami pracodawca wybiera bezpieczeństwo zamiast zwiększonej efektywności, a zatrudnieni korzystają z ulubionych narzędzi po cichu. Czym jest Shadow AI?
- Korzystanie z AI mimo zakazu pracodawcy
- Pracownicy korzystają z AI do swoich obowiązków
- Pracownicy udostępniają agentom AI dane firmowe
- Pracownicy omijają zakazy firmowe
- Ahadow AI i ryzyko dla firmy
- Jak zarządzać AI w firmie i chronić dane?
Korzystanie z AI mimo zakazu pracodawcy
Sztuczna inteligencja stała się stałym elementem codziennej pracy w polskich firmach, jednak organizacje wyraźnie nie nadążają za tempem jej adopcji. Z najnowszej edycji raportu "Cyberportret polskiego biznesu 2026", przygotowanego przez ESET i DAGMA Bezpieczeństwo IT, wynika, że 62% pracowników korzysta już z narzędzi AI w obowiązkach służbowych, a co trzeci użytkownik przyznaje wprost, że próbowałby obejść firmowe blokady, gdyby pracodawca ograniczył mu dostęp do ulubionych narzędzi. Dążenie do maksymalnej efektywności zaczyna brać górę nad bezpieczeństwem danych, a zjawisko Shadow AI może być ogromnym zagrożeniem dla wielu biznesów.
Najważniejsze informacje:
- 62% polskich pracowników korzysta z narzędzi AI w codziennej pracy służbowej
- 35% użytkowników AI przyznaje, że próbowałoby obejść firmowe blokady, gdyby pracodawca ograniczył dostęp do ulubionych narzędzi
- Tylko 27% firm posiada spisaną politykę korzystania z narzędzi AI
- 10% pracowników wprost przyznaje, że udostępnia otwartym modelom AI wrażliwe dane firmowe
Pracownicy korzystają z AI do swoich obowiązków
W polskich firmach AI często weszła przez tylne drzwi i zdążyła się już zadomowić. Z danych raportu wynika, że 62% pracowników (którzy pracują z komputerem min. 3 dni w tygodniu) korzysta z narzędzi AI w codziennych obowiązkach służbowych, a niemal co piąty deklaruje, że opiera się na pomocy autonomicznych agentów. Skala adopcji jest więc znacząca.
Pracownicy udostępniają agentom AI dane firmowe
Problem w tym, że firmy wyraźnie nie dotrzymują jej kroku. Większość pracowników porusza się w organizacyjnej szarej strefie, a konsekwencje są już widoczne: 10% pracowników wprost przyznaje, że udostępnia otwartym modelom AI wrażliwe dane firmowe. To właśnie istota zjawiska określanego jako Shadow AI, czyli używania sztucznej inteligencji wewnątrz organizacji bez oficjalnej zgody i nadzoru. Tylko 27% firm posiada dziś spisaną politykę regulującą korzystanie z AI, co oznacza, że zdecydowana większość pracowników nie ma żadnych firmowych drogowskazów w tym obszarze.
Pracownicy omijają zakazy firmowe
Narzędzia AI realnie przyspieszają i ułatwiają pracę, co przynosi wymierne korzyści zarówno pracownikom, jak i pracodawcom. Raport ESET i DAGMA Bezpieczeństwo IT pokazuje jednak, że często spotykana w biznesie presja efektywności ma swoją ciemną stronę: 35% użytkowników AI przyznaje, że próbowałoby obejść firmowe blokady, gdyby pracodawca ograniczył im dostęp do ulubionych narzędzi. Co więcej, 26% deklaruje, że w takiej sytuacji wygenerowałoby potrzebne treści na prywatnym sprzęcie i przesłało je na służbową pocztę.
Warto podkreślić, że gotowość do obchodzenia zasad nie musi wynikać z lekceważenia bezpieczeństwa. Pracownicy często po prostu nie wiedzą, jakie ryzyko niesie korzystanie z publicznych modeli językowych, i nie mają dostępu do bezpiecznych alternatyw. To właśnie brak jasnych zasad i odpowiednich narzędzi sprawia, że granica między efektywną a ryzykowną pracą z AI staje się coraz trudniejsza do wytyczenia. Dla organizacji to sygnał, że sama polityka zakazów nie wystarczy.
Ahadow AI i ryzyko dla firmy
Korzystanie z niezatwierdzonych narzędzi AI to nie tylko kwestia naruszenia firmowych procedur. To realne ryzyko utraty kontroli nad danymi. Pracownicy, którzy wklejają służbowe dokumenty czy dane klientów do publicznych modeli językowych, często nie zdają sobie sprawy z konsekwencji. Informacje te mogą trafiać na serwery poza Unią Europejską, być wykorzystywane do trenowania algorytmów lub stać się dostępne dla podmiotów zewnętrznych. Tymczasem tylko 38% firm zainwestowało w korporacyjne licencje AI, które gwarantują, że wprowadzane dane nie trafią do baz treningowych zewnętrznych modeli.
Konsekwencje mogą być poważne: od wycieków danych i naruszenia tajemnicy handlowej, po kary wynikające z RODO. W świecie, w którym dane są jednym z najcenniejszych zasobów firmy, brak polityki AI to nie tylko luka organizacyjna, ale realne zagrożenie biznesowe. Tymczasem zaledwie 25% firm wdrożyło systemy klasy DLP lub CASB, pozwalające monitorować ruch sieciowy pod kątem zapobiegania wyciekom danych do AI.
- Punktem wyjścia powinno być zrozumienie skali zjawiska, a następnie wprowadzenie jasnych zasad - co wolno, czego nie wolno i przede wszystkim dlaczego. Bez wyjaśnienia powodów trudno oczekiwać, że pracownik zrozumie, iż wklejenie firmowych danych do publicznego modelu językowego może zagrozić bezpieczeństwu całej organizacji. Warto też zadbać o dostęp do bezpiecznych, zatwierdzonych narzędzi - wtedy pracownicy nie będą musieli sięgać po prywatne konta. Właśnie brak takich zasad napędza Shadow AI. Największym ryzykiem jest wyciek danych do chmury, nad którą organizacja nie ma kontroli. Odpowiedzią nie jest zakaz, lecz wyjaśnienie ryzyka i wskazanie bezpiecznych alternatyw – mówi Dawid Koziorowski, Offensive Cybersecurity Team Leader, DAGMA Bezpieczeństwo IT.
Jak zarządzać AI w firmie i chronić dane?
Rosnąca skala zjawiska Shadow AI nie oznacza, że firmy są bezradne. Kluczem nie jest samo blokowanie narzędzi, lecz budowanie środowiska, w którym pracownicy mogą korzystać z AI w sposób bezpieczny i zgodny z firmowymi zasadami. Punktem wyjścia powinna być jasna polityka AI, która określa które narzędzia są dozwolone, jakie dane można przetwarzać i dlaczego określone zachowania są ryzykowne. Sama świadomość zagrożeń znacząco zmniejsza prawdopodobieństwo nieświadomych naruszeń.
Równie ważne jest zapewnienie pracownikom bezpiecznych alternatyw. Firmy, które inwestują w korporacyjne licencje AI i zatwierdzają konkretne narzędzia, eliminują główny powód, dla którego pracownicy sięgają po rozwiązania z szarej strefy. Uzupełnieniem całości powinny być systemy monitorowania przepływu danych, które pozwalają na bieżąco kontrolować, jakie informacje opuszczają organizację. To nie technologia jest tu największym wyzwaniem, lecz wyprzedzenie jej odpowiednimi zasadami.
O raporcie: Trzecia edycja raportu „Cyberportret polskiego biznesu 2026” powstała na podstawie badania ilościowego zrealizowanego w marcu 2026 roku przez instytut ARC Rynek i Opinia na próbie 1026 Polaków pracujących przy komputerze co najmniej 3 dni w tygodniu (w tym ekspertów ds. cybersecurity z firm zatrudniających min. 10 osób). Badanie przeprowadzono techniką CAWI.
Źródło: DAGMA Bezpieczeństwo IT