Az AI titkos használata súlyos pénzbírságot vonhat maga után, különösen, ha európai környezetben történik.
A "Shadow AI", magyarul árnyék mesterséges intelligencia, olyan MI-eszközöket takar, amelyeket a vállalati környezetben használnak, de nem esnek a hivatalos IT- és jogi ellenőrzés alá. Ez magában foglalja például azokat az alkalmazásokat és szoftvereket, amelyeket az alkalmazottak saját kezdeményezésükből, a vállalat által nem engedélyezett módon használnak. Ilyen eset lehet, ha valaki egy külső platformot választ adatok elemzésére, vagy saját gépén futtat programokat, anélkül, hogy ezeket a cég informatikai részlege jóváhagyta volna. Az árnyék MI használata kényelmes megoldásokat kínálhat, de komoly kockázatokat is rejthet, például adatvédelmi problémákat vagy biztonsági rést.
- mindezt úgy, hogy erről sem az informatikai, sem a jogi részlegnek nincs tudomása.
Az ilyen típusú gyakorlatok általában nem kerülnek nyilvántartásra, ami azt jelenti, hogy egy esetleges adatvédelmi incidenst vagy hatósági ellenőrzést követően a vállalat komoly nehézségekbe ütközhet. Nem lesz képes bizonyítani, hogy a feldolgozási tevékenység jogszerűen zajlott, és hogy az alkalmazott mesterséges intelligencia eszközök megfeleltek az uniós jogszabályoknak.
Dr. Kopasz János hangsúlyozza, hogy bár sokan azt állítják, miszerint a legújabb generatív AI-platformok lehetővé teszik a felhasználók számára, hogy megakadályozzák a bevitt adatok beépülését a tanítóadatbázisba, ez csupán egy lépés a problémák megoldása felé. Ez a lehetőség valóban hozzájárul a modellképzés kockázatainak csökkentéséhez, azonban nem oldja meg a jogi és IT-biztonsági kihívásokat, amelyek az adatok továbbításával, a feldolgozás jogi kereteivel, a hozzáférési korlátozásokkal, valamint az AI Act átláthatósági és emberi felügyeleti követelményeivel kapcsolatosak. Például, még az opt-out lehetősége mellett is fennáll az a kockázat, hogy az adatokat az EU-n kívül dolgozzák fel, ami a célhoz kötöttség megsértését, a jogosulatlan hozzáférés lehetőségét és az auditnyomok hiányát vonhatja maga után.
A kockázatok messze túlmutatnak az adatvédelem határain. Bizalmas vállalati információk kerülhetnek nyilvános AI-platformokra, harmadik országokba, mindezt ellenőrizetlen garanciák mellett. A kibervédelmi szempontokat figyelembe véve a felügyelet nélküli AI-használat új támadási lehetőségeket teremt: a platformok sérülékenységei és API-kapcsolatai révén adatszivárgások, rosszindulatú kódok vagy akár phishing-támadások is bekövetkezhetnek. Szellemi tulajdon védelmi szempontból is komoly veszélyt jelent, ha a belső know-how vagy ügyféladatok AI-modellekbe kerülnek, hiszen ezek később tanítóadatként újra felhasználhatók. Amennyiben a munkavállalók saját privát fiókjukkal használnak nem engedélyezett AI-eszközöket, a vállalat ellenőrzése teljes mértékben megszűnik, így a cég nem tudja garantálni a jogi és biztonsági előírásoknak való megfelelést.
Az ügyvédi iroda álláspontja szerint a megoldás nem a szigorú tiltás, hanem a tudatos és szabályozott integráció, amely egyszerre garantálja az átlátható és biztonságos mesterséges intelligencia (AI) alkalmazását, miközben lehetőséget teremt az üzleti előnyök kiaknázására. E gyakorlat megvalósítása érdekében egy több szempontot figyelembe vevő keretrendszer kialakítása szükséges. Első lépésként elengedhetetlen egy világos és részletes AI-használati szabályzat (AI Acceptable Use Policy - AI AUP) létrehozása, amely nem csupán felsorolja a tiltott adattípusokat, hanem konkrét példákkal is illusztrálja a biztonságos és jogszerű működést. A szabályzatnak emellett rögzítenie kell az új AI-eszközök jóváhagyási folyamatát is. Magas kockázatú esetekben kötelező a részletes adatvédelmi hatásvizsgálat (DPIA) elvégzése, amely figyelembe veszi az adattovábbítási útvonalakat és a hozzáférés-kezelési eljárásokat, valamint az AI Act által előírt emberi felügyeleti és átláthatósági követelményeket. Továbbá, fontos a belső adatáramlások feltérképezése és a beszállítói szerződések aktualizálása is, hogy az AI alkalmazás megfeleljen az adatbiztonsági elvárásoknak a szerződéses keretek között is.
Kulcsszerepe van a célzott, gyakorlati AI-képzésnek is, amely nem áll meg az alapfogalmaknál, hanem konkrét promptolási technikákat, adatbiztonsági szempontokat és jogi korlátokat is bemutat. Ez nemcsak best practice, hanem 2025. februárjától az AI Act értelmében minden, AI-t használó szervezet számára kötelezettség, hogy megfelelő AI-jártasságot (AI literacy) biztosítson a munkatársainak. A technikai és biztonsági kontrollok bevezetése szintén elengedhetetlen: vállalati AI-fiókokkal biztosítható a hozzáférések kezelése és a naplózás, míg a Data Loss Prevention (DLP) és a Cloud Access Security Broker (CASB) megoldások a kimenő adatok szűrését végzik. Ezeket kiberbiztonsági monitorozás egészíti ki, amely folyamatosan figyeli a platformok sérülékenységeit és az API-kapcsolatok biztonságát.
"Ez a jelenség már itt kopogtat, és sürgős intézkedéseket igényel - senkit ne vezessen félre az AI Act fokozatos bevezetése. Az mesterséges intelligencia csak akkor válhat valódi üzleti erőforrássá, ha átlátható és szabályozott keretek között alkalmazzuk, nem pedig titkos, ellenőrizhetetlen módokon." - figyelmeztet Dr. Kopasz János.
