Egy friss nemzetközi felmérés szerint a munkavállalók közel fele használ nem engedélyezett mesterségesintelligencia-eszközöket, gyakran bizalmas céges adatok feltöltésével - számolt be róla a 24.hu. Más kutatások még aggasztóbb képet festenek: a válaszadók 60 százaléka elismerte, hogy jóváhagyás nélkül dolgozik AI-megoldásokkal. Ez nemcsak IT-biztonsági, hanem súlyos jogi és üzleti kockázatot is jelent, hiszen az AI Act vagy a GDPR megsértése akár több tízmillió eurós bírságot is vonhat maga után - figyelmeztet Dr. Kopasz János, a Taylor Wessing nemzetközi ügyvédi iroda adatvédelmi és AI-szabályozási szakértője.
A jelenséget árnyék AI-nak nevezik, és minden olyan vállalati AI-használat ide tartozik, amely kívül esik az IT és a jogi kontrollon. Ez lehet egy marketinges kampányszöveg-generálása nyilvános chatbotban, egy fejlesztő kódrészleteinek előállítása generatív modellel, egy pénzügyes adatkezelése online AI-táblázattal vagy egy HR-es önéletrajzok szűrése nyílt AI-megoldással. Mindez úgy történik, hogy erről a cég hivatalos szervei semmit sem tudnak. Egy esetleges adatvédelmi incidensnél vagy hatósági vizsgálatnál így lehetetlen igazolni a jogszerű feldolgozást, és a cég könnyen patthelyzetbe kerülhet.
Bár sokan hivatkoznak arra, hogy a legtöbb AI-platformon beállítható az opt-out, vagyis a feltöltött adatok nem kerülnek a tanítóadatbázisba, ez csak részben csökkenti a kockázatot. Nem oldja meg például az adattovábbítás EU-n kívüli útvonalait, a feldolgozás jogalapjának hiányát, a hozzáférés-korlátozások sérülését vagy az auditnyom teljes hiányát. A veszélyek túlmutatnak az adatvédelmen: nyílt AI-platformokon bizalmas információk juthatnak harmadik országokba, ahol semmilyen garancia nincs a biztonságos kezelésre. Kibervédelmi oldalról a kontroll nélküli AI-használat új támadási felületet nyit, API-kapcsolatokon keresztül rosszindulatú kód vagy adatszivárgás is bekövetkezhet. A szellemi tulajdon védelme szintén sérülhet, ha belső know-how vagy ügyféladat kerül a modellekbe.
Az ügyvédi iroda szerint a megoldás nem a tiltás, hanem a szabályozott integráció. Ennek alapja egy részletes AI-használati szabályzat, amely világosan meghatározza a tiltott adattípusokat, konkrét példákkal szemlélteti a jogszerű gyakorlatot és lefekteti az új AI-eszközök jóváhagyási folyamatát. Magas kockázat esetén kötelező adatvédelmi hatásvizsgálatot kell végezni, amely az adattovábbítási útvonalaktól a hozzáférés-kezelésen át az AI Act emberi felügyeleti és átláthatósági előírásaiig mindent lefed. Ehhez kapcsolódik a beszállítói szerződések frissítése is, amely szerződéses szinten biztosítja a megfelelést.
Kiemelt szerepe van a célzott AI-képzésnek is, amely nem elméleti, hanem gyakorlati tudást ad: helyes promptolási technikákat, adatbiztonsági szempontokat és jogi korlátokat mutat be. Az AI Act értelmében 2025 februárjától minden AI-t használó szervezet számára kötelező lesz az úgynevezett AI-jártasság biztosítása. A technikai kontrollok szintén nélkülözhetetlenek: vállalati AI-fiókokkal a hozzáférések és naplózás kezelhetők, a DLP- és CASB-megoldások a kimenő adatokat szűrik, míg a kiberbiztonsági monitorozás a platformok sérülékenységeit figyeli.
Dr. Kopasz János szerint az árnyék AI nem a jövő, hanem már a jelen, amely azonnali intézkedést követel. Az AI valódi üzleti erőforrássá csak szabályozott, átlátható használat mellett válhat, nem pedig rejtett csatornákon, ellenőrizetlenül.
