Shadow AI în companie: cum scrii o politică de utilizare AI (2026)

Chiar acum, în timp ce citești, e foarte probabil ca cineva din echipa ta să lipească un fragment de contract, o listă de clienți sau un raport financiar într-un chat AI public ca să primească „o ciornă rapidă”. Nu o face din rea-credință — o face ca să livreze mai repede. Acesta este Shadow AI: utilizarea instrumentelor AI fără aprobarea, vizibilitatea și politica organizației. Iar răspunsul corect nu este interdicția, ci o politică de utilizare AI clară, care face munca sigură fără să o blocheze.

Acest ghid îți arată, pas cu pas, ce este Shadow AI, ce riscuri reale aduce, ce cer concret EU AI Act și GDPR, și — cel mai important — îți oferă un model editabil de politică AI pe o singură pagină plus un plan de implementare în 30 de zile. Totul ancorat în surse oficiale, cu cifre atribuite corect.

Ce este Shadow AI și de ce apare în orice companie

Termenul descrie, în definiția IBM, „utilizarea nesancționată a oricărui instrument sau aplicație de inteligență artificială de către angajați, fără aprobarea sau supravegherea formală a departamentului IT”. Spre deosebire de Shadow IT clasic (orice software sau serviciu folosit fără acordul IT — de la un cont personal de cloud la o aplicație de mesagerie), Shadow AI are particularități care îl fac mai greu de gestionat: datele introduse în prompt pot părăsi controlul companiei instantaneu, iar deciziile se iau pe baza unui output a cărui proveniență nu o vezi.

Cuvântul „shadow” (umbră) nu înseamnă ceva ilegal sau rău-intenționat. Înseamnă lipsă de lumină — activitatea se desfășoară fără ca organizația să o vadă, să o înțeleagă sau să o ghideze. Și apare pentru un motiv simplu: este o nevoie nesatisfăcută. Angajatul are o sarcină, are un instrument la îndemână care îl ajută, și nimeni nu i-a spus clar ce e permis și ce nu. În absența regulii, fiecare improvizează.

Amploarea fenomenului este documentată. Conform raportului anual Work Trend Index 2024 (Microsoft și LinkedIn), 78% dintre utilizatorii de AI își aduc propriile instrumente la locul de muncă (fenomenul „Bring Your Own AI”), iar procentul urcă la 80% în companiile mici și mijlocii. Verizon Data Breach Investigations Report (DBIR) 2025 arată că aproximativ 15% dintre angajați accesează platforme de AI generativ de pe dispozitivele companiei, iar dintre aceștia 72% se autentifică cu o adresă de e-mail personală — adică în afara oricărui control corporativ. Iar analiza Cyberhaven, bazată pe telemetria a circa 1,6 milioane de angajați, a constatat că datele sensibile reprezintă 11% din ceea ce angajații lipesc în ChatGPT, iar 4,7% dintre angajați au introdus date sensibile în instrument cel puțin o dată.

Concluzia practică: nu te întrebi dacă există Shadow AI în firma ta, ci cât de mult și cu ce date.

Riscurile reale: ce se întâmplă când datele firmei ajung în tool-uri publice

Cea mai bună măsură a impactului vine din raportul IBM Cost of a Data Breach 2025. Concluziile relevante pentru Shadow AI:

• Organizațiile cu un nivel ridicat de Shadow AI au avut costuri ale breșelor de date mai mari, în medie, cu 670.000 USD față de cele cu nivel scăzut sau fără Shadow AI.
• Una din cinci organizații (20%) a raportat o breșă cauzată de Shadow AI, iar doar 37% aveau politici pentru gestionarea AI sau detectarea Shadow AI.
• Incidentele care implicau Shadow AI au compromis mai multe date personale (65% din cazuri) și proprietate intelectuală (40%) decât media globală (53%, respectiv 33%).
• 13% dintre organizații au raportat breșe ale modelelor sau aplicațiilor AI, iar 97% dintre acestea nu aveau controale de acces AI implementate.

Cazul devenit manual de școală este Samsung, 2023. Conform relatării Bloomberg (preluată de TechCrunch și CNBC), divizia de semiconductori a permis accesul la ChatGPT, iar în câteva săptămâni au apărut, potrivit presei coreene, trei incidente separate de scurgere: un angajat a încărcat cod sursă dintr-o bază de date internă cerând o soluție, altul a introdus cod confidențial pentru optimizarea echipamentelor, iar al treilea a urcat conținutul unei ședințe interne pentru a genera procesul-verbal. Reacția companiei, intrată în vigoare la 1 mai 2023, a fost o restricție temporară (nu permanentă) a instrumentelor de AI generativ pe dispozitivele companiei și pe cele conectate la rețelele interne, până la implementarea unor măsuri de securitate. Un sondaj intern arătase că circa 65% dintre angajați considerau deja aceste instrumente un risc de securitate.

Tendința nu se inversează. Gartner estimează că, până în 2027, peste 40% dintre breșele de date legate de AI vor fi cauzate de utilizarea necorespunzătoare a AI generativ peste granițe, iar într-o cercetare publicată în noiembrie 2025 (302 lideri de securitate cibernetică chestionați; 69% au dovezi sau suspectează că angajații folosesc AI generativ public la muncă) prezice că, până în 2030, peste 40% dintre organizații vor suferi incidente de securitate și conformitate cauzate de utilizarea instrumentelor AI neautorizate.

Cadrul legal pe scurt: ce cer EU AI Act și GDPR

Două regimuri juridice se suprapun peste Shadow AI. Le rezumăm aici fără jargon; pentru obligațiile detaliate ale EU AI Act, vezi ghidul nostru dedicat — EU AI Act pentru companii românești: obligații și sancțiuni și calendarul de conformitate până la 2 august 2026.

EU AI Act (Regulamentul UE 2024/1689). A intrat în vigoare la 1 august 2024 și se aplică eșalonat. Două repere contează direct pentru Shadow AI:

• De la 2 februarie 2025 se aplică deja obligația de alfabetizare AI (Art. 4): furnizorii și utilizatorii profesionali de sisteme AI trebuie să ia măsuri pentru a asigura, „în măsura posibilităților lor”, un nivel suficient de înțelegere a AI în rândul personalului. Este o obligație de tip best-efforts — nu impune un curs certificat anume, dar impune să faci ceva concret și documentabil.
• De la 2 august 2026 devine general aplicabil restul regulamentului, inclusiv obligațiile de transparență din Art. 50.

Sancțiunile (Art. 99) au trei niveluri, calculate ca valoarea cea mai mare dintre sumă și procent: până la 35.000.000 EUR sau 7% din cifra de afaceri globală anuală pentru practicile interzise (Art. 5); până la 15.000.000 EUR sau 3% pentru alte încălcări ale obligațiilor (inclusiv transparența); și până la 7.500.000 EUR sau 1% pentru informații incorecte furnizate autorităților. Pentru IMM-uri și start-up-uri se aplică varianta mai mică dintre cele două praguri.

Pentru România, lucrurile s-au clarificat recent: prin memorandum guvernamental din 12 martie 2026, statul a desemnat autoritățile competente pentru AI Act — ANCOM ca autoritate de supraveghere a pieței și punct unic de contact, ADR (Autoritatea pentru Digitalizarea României) ca autoritate de notificare, ASF și BNR pentru sistemele cu risc ridicat din servicii financiare, iar ANSPDCP pentru biometrie, aplicarea legii, frontiere, migrație, azil și justiție.

GDPR (Regulamentul UE 2016/679). Aici e nuanța juridică esențială, formulată cu prudență: introducerea datelor personale ale clienților sau angajaților într-un tool AI public poate constitui o dezvăluire de date către un terț (furnizorul instrumentului). În lipsa unui temei legal valabil din Art. 6 și a unui acord de prelucrare a datelor (DPA) cu furnizorul, cerut de Art. 28, o astfel de utilizare riscă să încalce GDPR. Dacă serverele furnizorului sunt în afara Spațiului Economic European, se adaugă regulile privind transferurile internaționale (Art. 44-49). Amenzile GDPR ajung, pentru încălcările grave (Art. 83 alin. 5), până la 20.000.000 EUR sau 4% din cifra de afaceri mondială anuală — din nou, valoarea cea mai mare. Calificarea concretă depinde însă de circumstanțe; nu orice utilizare a unui tool AI încalcă automat GDPR.

Cum clasifici instrumentele AI: cele 3 niveluri

Inima oricărei politici de utilizare AI este o regulă simplă pe care orice angajat o poate ține minte: ce instrument am voie să folosesc, cu ce date și în ce condiții. Cel mai eficient mod de a o comunica este o clasificare pe trei niveluri.

• Nivelul 1 — Aprobate. Instrumente cu cont enterprise/business, contract și garanții clare privind datele. Aici poți folosi date interne, conform clasificării și politicii (dar nu categorii speciale de date personale).
• Nivelul 2 — Condiționate. Versiuni gratuite sau personale, fără contract de prelucrare. Permise doar pentru informații publice sau fictive — niciodată date personale, financiare sau confidențiale.
• Nivelul 3 — Interzise. Instrumente neverificate, fără termeni clari privind datele sau locația de procesare. Interzise pentru orice sarcină de business, indiferent de tipul de date.

Lista concretă de instrumente din fiecare nivel se stabilește împreună cu IT-ul și cu responsabilul GDPR/DPO și se actualizează periodic.

Model de politică de utilizare AI pe o singură pagină

Cea mai citită politică este cea care încape pe o pagină. Mai jos ai o structură pe care o poți copia și adapta. Nu o adopta însă oficial fără revizuirea juristului și a DPO-ului organizației tale.

POLITICA DE UTILIZARE AI — [Numele companiei]

1. Scop. Permitem folosirea instrumentelor AI pentru a lucra mai eficient, protejând în același timp datele companiei, ale clienților și ale angajaților.

2. Instrumente aprobate. Folosiți doar instrumentele din Nivelul 1 (listă anexată). Pentru instrumentele de Nivel 2, folosiți exclusiv informații publice. Instrumentele de Nivel 3 sunt interzise.

3. Date care NU intră niciodată într-un tool AI decât pe instrumente aprobate de Nivel 1, conform clasificării: date cu caracter personal (clienți, angajați, candidați), date financiare nepublice, cod sursă proprietar, contracte și documente confidențiale, secrete comerciale, credențiale și parole.

4. Omul verifică întotdeauna. AI-ul asistă, nu decide. Orice rezultat folosit într-o livrare reală este verificat de o persoană (principiul human-in-the-loop).

5. Transparență. Marcați conținutul generat sau asistat de AI acolo unde regulile interne sau legale o cer.

6. Roluri. [Nume/funcție] este responsabilul politicii. Întrebările și propunerile de instrumente noi se trimit către [canal].

7. Raportarea incidentelor. Dacă ați introdus din greșeală date sensibile într-un tool, anunțați imediat [canal]. Raportarea promptă nu se sancționează — ascunderea, da.

Versiune [x] · Aprobată la [dată] · Revizuire [trimestrială].

Ce date NU pui niciodată într-un tool AI

Regula de aur, pe care merită să o repeți în formare: dacă nu ai trimite informația pe un e-mail către un străin, nu o lipi nici într-un AI care nu e pe lista aprobată. Concret, stau în afara tool-urilor publice:

• date cu caracter personal — nume, CNP, adrese, date de contact, date de sănătate, date de candidați;
• date financiare nepublice — bugete, prețuri, marje, rapoarte interne;
• cod sursă proprietar și documentație tehnică internă;
• contracte, oferte, documente juridice și secrete comerciale;
• credențiale, chei API, parole.

Alternative corporate sigure, cu opt-out de antrenare

Vestea bună: nu trebuie să alegi între productivitate și conformitate. Versiunile de business ale marilor furnizori tratează datele fundamental diferit față de conturile personale gratuite. Pe scurt, conform documentației oficiale a fiecăruia:

• ChatGPT Enterprise / Business / Edu și API (OpenAI): implicit, datele de business nu sunt folosite pentru antrenarea modelelor. Formularea oficială pentru ChatGPT Enterprise: „We do not train on your business data or conversations, and our models don't learn from your usage.”
• Claude Team și Claude Enterprise (Anthropic): sunt clasificate drept clienți comerciali, sub Termenii Comerciali. Anthropic precizează: „By default, we will not use your inputs or outputs from our commercial products to train our models”, iar pentru Claude Enterprise: „Customer data on Claude Enterprise is not used to train our models.”
• Microsoft 365 Copilot: „the prompts, responses, and data accessed through Microsoft Graph aren't used to train foundation models”, utilizarea fiind acoperită de DPA, GDPR și EU Data Boundary. O nuanță tehnică utilă pentru UE: modelele Anthropic sunt, momentan, excluse din EU Data Boundary atunci când sunt folosite în Microsoft 365 Copilot.
• Gemini for Google Workspace / Gemini Enterprise: Google precizează că „Workspace does not use customer data for training models without customer's prior permission or instruction.”

Mutarea echipei de pe conturi personale pe astfel de planuri, cu setările verificate de IT, transformă cea mai mare parte a Shadow AI din risc în instrument controlat.

Implementare în 30 de zile și alfabetizarea AI a angajaților

Nu ai nevoie de un proiect de un an. O guvernanță funcțională se poate construi în patru săptămâni.

• Săptămâna 1 — Diagnostic. Întreabă echipele ce instrumente AI folosesc deja și cartografiază datele sensibile. Colectezi adevărul, nu vină — fără sancțiuni în această fază.
• Săptămâna 2 — Politică și clasificare. Scrie politica pe o pagină, clasifică instrumentele pe cele 3 niveluri și definește datele interzise.
• Săptămâna 3 — Alternative și roluri. Activează conturile enterprise cu opt-out, numește un responsabil al politicii și campioni interni, definește calea de raportare a incidentelor.
• Săptămâna 4 — Formare și lansare. Fă formarea de alfabetizare AI, comunică politica simplu și pozitiv, pornește o monitorizare ușoară și o revizuire lunară.

Partea de formare nu este opțională: obligația de alfabetizare AI din Art. 4 EU AI Act se aplică deja. Nu îți cere o certificare formală, ci dovada că ți-ai pregătit oamenii proporțional cu modul în care folosesc AI. O sesiune practică, repetabilă, în care echipa învață ce e permis, ce nu și de ce, acoperă atât litera obligației, cât și scopul ei real.

Cele mai frecvente greșeli

1. Interdicția totală. Nu oprește Shadow AI — îl împinge și mai adânc în umbră, pe dispozitive personale, unde nu ai nicio vizibilitate.
2. Politica de 20 de pagini pe care nu o citește nimeni. Dacă regula nu încape în mintea unui angajat ocupat, nu există.
3. Lipsa alternativelor. Dacă interzici fără să oferi un instrument aprobat, oamenii vor reveni la cel din umbră.
4. Pedepsirea celor care raportează. Dacă un angajat e sancționat fiindcă a anunțat o greșeală, ai garantat că următorul o va ascunde.
5. „Document final”. O politică AI este un document viu; instrumentele și riscurile se schimbă lunar, deci și ea trebuie revizuită.

Cum te ajută cursul de pe Cursuri AI

Dacă vrei să treci de la „știm că e o problemă” la o politică funcțională și o echipă formată, cursul Politică de Utilizare AI și Securitatea Datelor în Companie — Combaterea Shadow AI te ghidează la nivel organizațional, non-tehnic: clasificarea pe niveluri, șablonul de politică, obiceiurile sigure și planul de implementare, cu un proiect aplicat pentru firma ta. Este conceput pentru manageri, DPO, HR și management operațional.

Pentru contextul mai larg, cursul AI pentru Lideri de Business acoperă decizia strategică privind adopția AI, cursul AI Security & Ethics tratează latura tehnică a riscurilor, iar pentru amenințarea înrudită a fraudelor, cursul de Apărare împotriva Fraudelor AI și Deepfake este complementul natural.

Concluzie

Shadow AI nu este un semn de indisciplină, ci dovada că oamenii tăi vor să lucreze mai bine. Problema nu este că folosesc AI — este că o fac fără reguli, fără instrumente sigure și fără vizibilitate. Răspunsul nu este un zid, ci un drum cu marcaje: o politică pe o pagină, trei niveluri clare de instrumente, alternative corporate cu opt-out și o echipă formată. Cu deadline-ul de aplicabilitate generală a EU AI Act la 2 august 2026, fereastra de pregătire este acum. O politică bine scrisă transformă AI-ul din risc tăcut în avantaj controlat — și asta separă companiile pregătite de cele care vor reacționa abia după primul incident.

Disclaimer juridic. Acest articol prezintă cadrul aplicabil utilizării instrumentelor AI în companii la 8 iunie 2026, pe baza surselor oficiale citate, și are scop exclusiv educativ. Nu constituie consultanță juridică. Modelul de politică este un punct de pornire orientativ, care trebuie revizuit și adaptat împreună cu juristul și DPO-ul organizației înainte de adoptare. Calificarea juridică a unei utilizări concrete (GDPR, EU AI Act) depinde de circumstanțe. Verifică întotdeauna versiunea consolidată a Regulamentului (UE) 2024/1689 pe EUR-Lex, actualizările Comisiei Europene și ghidurile ANSPDCP.

Surse oficiale citate:

1. EUR-Lex — Regulamentul (UE) 2024/1689 (EU AI Act)
2. EU AI Act — Articolul 113 (calendar de aplicabilitate)
3. EU AI Act — Articolul 4 (alfabetizare AI)
4. EU AI Act — Articolul 50 (transparență)
5. EU AI Act — Articolul 99 (sancțiuni)
6. Comisia Europeană — AI Literacy: Questions & Answers
7. GDPR — Articolul 6 (temei legal)
8. GDPR — Articolul 28 (persoana împuternicită / DPA)
9. GDPR — Articolul 83 (amenzi administrative)
10. Guvernul României — desemnarea autorităților pentru AI Act (12 martie 2026)
11. IBM — Cost of a Data Breach Report 2025
12. IBM — What Is Shadow AI?
13. Cyberhaven — date confidențiale lipite în ChatGPT
14. Microsoft & LinkedIn — Work Trend Index 2024 (BYOAI)
15. Gartner — 40% din breșele AI din utilizarea AI generativ peste granițe (2027)
16. TechCrunch — Samsung restricționează AI generativ după scurgerea de date
17. OpenAI — Enterprise privacy
18. Anthropic — Is my data used for model training?
19. Microsoft Learn — Enterprise data protection in Microsoft 365 Copilot
20. Google Workspace — Generative AI Privacy Hub