Pod koniec maja 2025 roku pojawiła się informacja, która powinna zainteresować każdego właściciela firmy korzystającego z narzędzi AI. Użytkownik platformy X (dawniej Twitter) pozwał firmę xAI Elona Muska, twierdząc, że chatbot Grok generował nielegalne treści przedstawiające wykorzystywanie dzieci. Niezależnie od tego, jak zakończy się ta sprawa w sądzie, sam fakt jej zaistnienia pokazuje coś fundamentalnego - systemy AI mogą produkować treści, które narażają firmę na poważne konsekwencje prawne i wizerunkowe.
Dla polskich małych i średnich firm ta historia to nie odległy problem z Doliny Krzemowej. To konkretne ostrzeżenie. Coraz więcej polskich przedsiębiorstw wdraża chatboty na swoich stronach internetowych, korzysta z agentów AI do obsługi klienta, generuje treści marketingowe za pomocą modeli językowych. Każde z tych zastosowań niesie ze sobą ryzyko, o którym wielu przedsiębiorców po prostu nie myśli. A powinni - bo w świetle prawa to firma odpowiada za to, co jej narzędzia komunikują klientom.
W tym artykule przejdziemy przez najważniejsze kwestie bezpieczeństwa AI, które dotyczą polskich firm. Bez straszenia, ale z konkretnymi wskazówkami, co zrobić, żeby wdrożenie AI nie skończyło się problemem zamiast usprawnieniem.
Czego uczy nas pozew przeciwko xAI
Sprawa pozwu przeciwko xAI dotyczy sytuacji, w której chatbot Grok miał generować treści typu CSAM (Child Sexual Abuse Material) - czyli materiały przedstawiające seksualne wykorzystywanie dzieci. To oczywiście skrajny przypadek, ale mechanizm problemu jest uniwersalny. Duże modele językowe (LLM) są trenowane na ogromnych zbiorach danych z internetu. Jeśli zabezpieczenia nie są wystarczające, model może wygenerować treści nielegalne, obraźliwe lub po prostu nieprawdziwe.
Problem nie ogranicza się do jednej firmy. W 2024 roku Air Canada musiała honorować zniżkę, którą jej chatbot samodzielnie "wymyślił" i zaproponował klientowi. Kanadyjski trybunał orzekł, że firma ponosi pełną odpowiedzialność za informacje podawane przez swojego chatbota - niezależnie od tego, czy były zaprogramowane, czy wygenerowane spontanicznie przez model AI. Odszkodowanie wyniosło ponad 800 dolarów kanadyjskich, ale koszty wizerunkowe były wielokrotnie wyższe.
W Europie sytuacja jest jeszcze bardziej wymagająca. AI Act, czyli unijne rozporządzenie o sztucznej inteligencji, które wchodzi w życie etapami od 2024 roku, nakłada na firmy obowiązek oceny ryzyka systemów AI, które wdrażają. Nie chodzi tylko o firmy tworzące modele AI - obowiązki dotyczą też firm, które z tych modeli korzystają, czyli tak zwanych "deployers" w terminologii rozporządzenia. A to oznacza, że polska firma e-commerce, która wstawiła chatbota na swoją stronę, ma konkretne obowiązki prawne.
Realne ryzyka dla polskich firm
Zanim pomyślisz "to nie dotyczy mojej firmy, bo nie buduję własnego modelu AI" - zatrzymaj się na chwilę. Ryzyko nie leży w budowaniu modeli. Leży w ich używaniu bez odpowiednich zabezpieczeń. Oto trzy najczęstsze scenariusze, z którymi spotykam się w rozmowach z polskimi przedsiębiorcami.
Chatbot, który obiecuje za dużo. Firma usługowa wdraża chatbota opartego na GPT-4 do obsługi zapytań klientów. Chatbot, chcąc być pomocny, zaczyna składać obietnice dotyczące terminów realizacji, cen czy warunków gwarancji, które nie mają pokrycia w regulaminie firmy. Klient traktuje te informacje jako wiążące. W świetle polskiego prawa konsumenckiego i dyrektywy omnibus - ma do tego podstawy.
Generator treści, który zmyśla fakty. Agencja marketingowa używa AI do tworzenia opisów produktów dla klienta z branży suplementów diety. Model generuje zdania sugerujące właściwości lecznicze produktu, które nie mają potwierdzenia w badaniach. To naruszenie ustawy o bezpieczeństwie żywności i żywienia, a potencjalnie też przepisów o nieuczciwych praktykach rynkowych. Kary od UOKiK mogą sięgać 10% rocznego obrotu firmy.
Agent AI z dostępem do danych osobowych. Firma wdraża agenta AI, który ma automatycznie odpowiadać na maile klientów. Agent dostaje dostęp do bazy CRM z danymi osobowymi. Problem? Dane klientów są przesyłane do zewnętrznego API (np. OpenAI), co może naruszać RODO, jeśli firma nie ma odpowiedniej umowy powierzenia przetwarzania danych i nie poinformowała klientów o tym procesie. Według raportu UODO z 2024 roku, ponad 60% polskich MŚP nie ma zaktualizowanej polityki prywatności uwzględniającej narzędzia AI.
Praktyczny plan bezpieczeństwa AI dla MŚP
Dobra wiadomość jest taka, że zabezpieczenie się przed większością ryzyk nie wymaga budżetu korporacji. Wymaga natomiast świadomego podejścia i kilku konkretnych kroków. Oto plan, który rekomenduję polskim firmom wdrażającym narzędzia AI.
Krok 1: Inwentaryzacja narzędzi AI. Zrób listę wszystkich miejsc, w których Twoja firma korzysta z AI. Nie tylko oficjalnych wdrożeń - sprawdź też, czy pracownicy samodzielnie nie używają ChatGPT'a, Claude'a czy innych narzędzi do pracy z danymi firmowymi. Badanie Deloitte z 2024 roku pokazało, że w 78% firm pracownicy korzystają z generatywnej AI bez wiedzy przełożonych. To zjawisko nazywane "shadow AI" i jest jednym z największych ryzyk bezpieczeństwa.
Krok 2: Polityka korzystania z AI. Stwórz prosty dokument (nie musi mieć 50 stron) określający, jakie narzędzia AI są dozwolone w firmie, jakie dane można do nich wprowadzać, a jakie absolutnie nie. Minimum to zakaz wklejania danych osobowych klientów, danych finansowych i tajemnic handlowych do publicznych chatbotów. Taki dokument to nie biurokracja - to podstawowa higiena cyfrowa.
Krok 3: Zabezpieczenia techniczne chatbotów. Jeśli wdrażasz chatbota na stronie firmy, zadbaj o kilka rzeczy. Po pierwsze - ogranicz zakres tematów, na które chatbot może odpowiadać (to się robi przez odpowiedni prompt systemowy i technikę RAG, czyli Retrieval-Augmented Generation, opartą wyłącznie na zatwierdzonych dokumentach firmy). Po drugie - dodaj wyraźną informację, że klient rozmawia z AI i że odpowiedzi mogą zawierać nieścisłości. Po trzecie - loguj wszystkie rozmowy i regularnie je przeglądaj. Narzędzia takie jak Langfuse czy LangSmith pozwalają monitorować jakość odpowiedzi chatbota w czasie rzeczywistym, a ich podstawowe wersje są dostępne za darmo.
Krok 4: Weryfikacja ludzka. Przy każdym zastosowaniu AI, które ma bezpośredni kontakt z klientem lub generuje treści publikowane pod marką firmy, wprowadź obowiązkową weryfikację przez człowieka. To nie musi spowalniać procesów - wystarczy, że pracownik przegląda wygenerowane treści przed publikacją lub że chatbot przy bardziej skomplikowanych pytaniach przekierowuje do konsultanta. Według danych McKinsey z raportu "The State of AI in 2024", firmy z obowiązkową weryfikacją ludzką odnotowują o 40% mniej incydentów związanych z błędnymi odpowiedziami AI.
Krok 5: Przegląd prawny. Skonsultuj się z prawnikiem (najlepiej takim, który rozumie technologię) w trzech kwestiach: czy Twoja polityka prywatności uwzględnia wykorzystanie AI, czy umowy z dostawcami narzędzi AI chronią Twoje dane, oraz czy Twoje zastosowania AI nie podpadają pod kategorie wysokiego ryzyka w AI Act. Ta ostatnia kwestia dotyczy na przykład firm rekrutacyjnych używających AI do selekcji CV czy firm finansowych stosujących AI do oceny zdolności kredytowej.
AI Act a polskie MŚP - co trzeba wiedzieć teraz
AI Act to rozporządzenie, które wiele polskich firm traktuje jako odległy problem. To błąd. Pierwsze obowiązki (dotyczące zakazanych praktyk AI) obowiązują od lutego 2025 roku. Kolejne etapy wchodzą w życie w sierpniu 2025 i lutym 2026 roku.
Dla większości polskich MŚP najważniejsze są trzy rzeczy. Po pierwsze - jeśli używasz AI do podejmowania decyzji wpływających na ludzi (rekrutacja, ocena kredytowa, scoring klientów), Twój system prawdopodobnie jest klasyfikowany jako "wysokiego ryzyka" i podlega ścisłym wymogom dokumentacji, nadzoru ludzkiego i przejrzystości. Po drugie - jeśli Twój chatbot lub asystent AI wchodzi w interakcję z ludźmi, musisz ich informować, że rozmawiają z maszyną, a nie z człowiekiem. Po trzecie - jeśli generujesz treści za pomocą AI (teksty, grafiki, wideo), w wielu przypadkach musisz to oznaczać.
Kary za naruszenia AI Act mogą sięgać 35 milionów euro lub 7% globalnego rocznego obrotu - w zależności od rodzaju naruszenia. Dla MŚP przewidziano wprawdzie proporcjonalnie niższe kary, ale nawet one mogą być dotkliwe dla firmy z kilkumilionowym obrotem.
Warto też wiedzieć, że Polska wciąż nie powołała krajowego organu nadzoru ds. AI, co oznacza, że na razie nie ma instytucji, która aktywnie egzekwowałaby przepisy AI Act. Ale to się zmieni - i firmy, które przygotują się wcześniej, unikną nerwowej gorączki, gdy nadzór zacznie działać. Doświadczenie z RODO pokazuje, że firmy, które zlekceważyły okres przejściowy, potem płaciły za to wielokrotnie więcej - zarówno w karach, jak i w kosztach przyspieszonego dostosowania.
Podsumowanie
Sprawa pozwu przeciwko xAI to sygnał ostrzegawczy, ale nie powód do paniki. AI jest fantastycznym narzędziem dla polskich firm - pod warunkiem, że wdrażamy je z otwartymi oczami. Chatbot, który halucynuje i składa fałszywe obietnice, to nie problem technologii. To problem braku nadzoru i zabezpieczeń.
Pięć kroków, które opisałem powyżej - inwentaryzacja, polityka wewnętrzna, zabezpieczenia techniczne, weryfikacja ludzka i przegląd prawny - nie wymaga ogromnych nakładów. Wymaga decyzji, że bezpieczeństwo AI traktujemy poważnie, zanim wydarzy się incydent, a nie po nim.
Polskie MŚP mają tu pewną przewagę nad korporacjami - mniejsza skala oznacza szybsze wdrożenie zmian i łatwiejszy nadzór nad tym, jak AI jest faktycznie używane w firmie. Wykorzystajmy tę przewagę, zamiast czekać na pierwszy polski odpowiednik sprawy xAI czy Air Canada.