Z narzędzi sztucznej inteligencji korzysta już 62 proc. polskich pracowników wykonujących obowiązki przy komputerze co najmniej trzy dni w tygodniu – wynika z raportu „Cyberportret polskiego biznesu 2026”, przygotowanego przez ESET i DAGMA Bezpieczeństwo IT. Jednocześnie 35 proc. użytkowników AI deklaruje, że próbowałoby obejść firmowe blokady, gdyby pracodawca ograniczył im dostęp do ulubionych narzędzi. Tylko 27 proc. organizacji ma spisaną politykę korzystania z AI, a część pracowników przekazuje otwartym modelom wrażliwe dane firmowe.
Sztuczna inteligencja szybko weszła do codziennej pracy w polskich firmach. Pracownicy wykorzystują ją do pisania, analizowania, podsumowywania, szukania pomysłów i automatyzowania części obowiązków. Tyle że tempo wdrażania narzędzi AI przez ludzi jest szybsze niż tempo tworzenia firmowych zasad.
Wiele organizacji działa dziś w szarej strefie AI. Pracownicy korzystają z narzędzi, które pomagają im szybciej wykonywać zadania. Tymczasem firma nie zawsze wie, jakie dane trafiają do zewnętrznych systemów.
AI w firmach znacznie wyprzedza procedury
Według raportu ESET i DAGMA Bezpieczeństwo IT 62 proc. pracowników korzysta z narzędzi AI w codziennych obowiązkach służbowych. Niemal co piąty deklaruje, że korzysta z pomocy autonomicznych agentów, czyli takich narzędzi, które mogą wykonywać bardziej złożone zadania według celu wyznaczonego przez użytkownika. Agent AI może na przykład analizować dane, przygotowywać dokumenty lub łączyć kilka działań w jeden proces.
Takie rozwiązania mogą zwiększać efektywność pracy, ale wymagają zasad. Tymczasem tylko 27 proc. firm posiada spisaną politykę korzystania z narzędzi sztucznej inteligencji. Taki dokument określa, z jakich narzędzi wolno korzystać, jakie dane można do nich wprowadzać, kto ponosi odpowiedzialność za wyniki i które zastosowania są zakazane. Bez takich zasad pracownik często sam decyduje, co może wkleić do modelu i czy dane są bezpieczne.
Shadow AI staje się ogromnym problemem
Brak jasnych zasad prowadzi do zjawiska określanego jako „shadow AI”. Chodzi o używanie sztucznej inteligencji w organizacji bez oficjalnej zgody, wiedzy lub nadzoru firmy.
Na przykład pracownik używa prywatnego konta w popularnym narzędziu AI do analizy dokumentów, streszczania korespondencji, tworzenia ofert albo przetwarzania danych klientów. Z perspektywy pracownika może to być sposób na szybszą pracę, ale dla pracodawcy sprawa staje się bardziej skomplikowana.
Firmy w ten sposób tracą kontrolę nad informacjami – najbardziej niepokojące dane dotyczą wrażliwych informacji. Co dziesiąty pracownik przyznaje, iż udostępnia otwartym modelom AI wrażliwe dane firmowe. To narzędzia dostępne publicznie, często w chmurze, a nie w lokalnym środowisku IT. Nie zawsze dają organizacji gwarancję, że wpisywane dane nie zostaną zapisane, przetworzone poza Unią Europejską albo wykorzystane do trenowania algorytmów.
Pracownicy mogą obchodzić blokady
Firmy mogą próbować ograniczać dostęp do wybranych narzędzi AI, ale sam zakaz nie rozwiązuje problemu. Jeden na trzech (35 proc.) użytkowników AI próbowałby obejść firmowe blokady, gdyby pracodawca ograniczył mu dostęp do ulubionych rozwiązań.
Co więcej, 26 proc. badanych deklaruje, że w takiej sytuacji… wygenerowałoby potrzebne treści na prywatnym sprzęcie i przesłało je na służbową pocztę. Wniosek? Część pracowników traktuje sztuczną inteligencję jako narzędzie tak potrzebne w pracy, że jest gotowa szukać obejścia formalnych ograniczeń.
Nie musi to wynikać z lekceważenia bezpieczeństwa. Część osób może nie wiedzieć, jakie ryzyka wiążą się z publicznymi modelami językowymi. Inni mogą po prostu nie mieć dostępu do zatwierdzonych, bezpiecznych narzędzi w firmie.
W efekcie granica między efektywną pracą a ryzykownym przetwarzaniem danych staje się bardzo płynna. Sama blokada technologii może pogłębić problem, jeśli nie towarzyszy jej edukacja i dostęp do alternatyw.
Ryzyko dotyczy danych i odpowiedzialności
Korzystanie z niezatwierdzonych narzędzi AI nie jest tylko naruszeniem procedur. To także poważne ryzyko utraty kontroli nad danymi firmowymi.
Jeśli pracownik wkleja do publicznego modelu dokumenty, dane klientów, treść umów lub informacje handlowe, organizacja może nie wiedzieć, gdzie te dane później trafiają. Mogą być przetwarzane na serwerach poza Unią Europejską, wykorzystane do trenowania modeli albo stać się dostępne dla podmiotów zewnętrznych.
Konsekwencje mogą obejmować wycieki danych, naruszenie tajemnicy handlowej i problemy związane z unijnymi przepisami o ochronie danych osobowych (RODO). Te nakładają na firmy obowiązki dotyczące sposobu zbierania, przetwarzania i zabezpieczania informacji o osobach.
Tylko dwie na pięć firm (38 proc.) zainwestowało w korporacyjne licencje AI. Takie licencje mogą zapewniać większą kontrolę nad danymi, w tym gwarancję, że informacje wprowadzane przez pracowników nie trafiają do baz treningowych zewnętrznych modeli.
Firmy rzadko monitorują przepływ danych
Oprócz polityki AI i bezpiecznych licencji, potrzebne są też narzędzia techniczne. Według raportu tylko 25 proc. firm wdrożyło systemy klasy DLP (pomagające wykrywać i blokować niekontrolowane przekazywanie poufnych informacji poza organizację) lub CASB (rozwiązania wspierające kontrolę nad usługami chmurowymi), które pozwalają monitorować ruch sieciowy pod kątem zapobiegania wyciekom danych do AI.
Takie narzędzia nie zastępują zasad ani szkoleń, ale pozwalają firmie zobaczyć, jakie dane opuszczają organizację. Bez tego zarząd może nie wiedzieć, jak duży jest problem shadow AI i gdzie występują największe ryzyka.
– Punktem wyjścia powinno być zrozumienie skali zjawiska, a następnie wprowadzenie jasnych zasad: co wolno, czego nie wolno i przede wszystkim dlaczego. Bez wyjaśnienia powodów trudno oczekiwać, że pracownik zrozumie, iż wklejenie firmowych danych do publicznego modelu językowego może zagrozić bezpieczeństwu całej organizacji. Warto też zadbać o dostęp do bezpiecznych, zatwierdzonych narzędzi – wtedy pracownicy nie będą musieli sięgać po prywatne konta. Właśnie brak takich zasad napędza shadow AI. Największym ryzykiem jest wyciek danych do chmury, nad którą organizacja nie ma kontroli. Odpowiedzią nie jest zakaz, lecz wyjaśnienie ryzyka i wskazanie bezpiecznych alternatyw – mówi Dawid Koziorowski, kierownik zespołu ds. cyberbezpieczeństwa w obszarze ofensywnym, DAGMA Bezpieczeństwo IT.
Zakaz bez alternatywy może nie zadziałać
Firmy stoją więc przed trudnym wyborem. Z jednej strony sztuczna inteligencja pomaga pracownikom zwiększać efektywność. Z drugiej strony brak kontroli nad tym, jak i gdzie jest używana, może narażać organizację na poważne straty.
Skuteczne zarządzanie sztuczną inteligencją nie powinno polegać wyłącznie na blokowaniu narzędzi. Firmy powinny ustalić, które rozwiązania są dozwolone, jakie dane można w nich przetwarzać i które zastosowania wymagają dodatkowej ostrożności.
Ważne jest również wyjaśnienie pracownikom, dlaczego pewne działania są ryzykowne. Drugim elementem jest zapewnienie bezpiecznych alternatyw. Jeśli firma chce uniknąć zjawiska shadow AI i korzystania z przypadkowych narzędzi, to powinna sama oferować pracownikom rozwiązania zgodne ze standardami.
Raport „Cyberportret polskiego biznesu 2026” powstał na podstawie badania ilościowego przeprowadzonego metodą CAWI w marcu 2026 roku przez instytut ARC Rynek i Opinia. W badaniu wzięło udział 1026 Polaków pracujących przy komputerze co najmniej trzy dni w tygodniu, w tym eksperci ds. cyberbezpieczeństwa z firm zatrudniających co najmniej 10 osób.
Polecamy także:
- Karta kredytowa jak droższa pożyczka? UOKiK zarzuca firmom obchodzenie przepisów
- Medyczne miliony z publicznych pieniędzy. Jest petycja o ustanowienie limitów zarobków dla lekarzy
- „Dane nie oddają stanu faktycznego”. Zadłużenie rolników jest nawet dwa razy większe, niż w oficjalnych statystykach
