Shadow AI: Как един ChatGPT prompt може да струва на компанията ви 670 000 евро

Как един инженер по полупроводници задейства забраната на ChatGPT в Samsung

През април 2023 един Samsung инженер седеше пред проблем. Един ред изходен код за поверителен полупроводников процес не работеше. Той постави кода в ChatGPT, получи предложение за решение и продължи с проекта. Вероятно беше горд от ефективността си.

Три седмици по-късно двама други служители бяха направили подобни неща: единият беше дал поверителна среща за транскрипция, друг беше дал последователност за тестване в производството на чипове за оптимизация. Samsung дръпна шалтера и забрани в целия свят всички генеративни AI инструменти за служители. До този момент обаче данните вече бяха предадени на външен сървър и не бяха повече под контрола на Samsung.

Тази история се появява във всеки следващ compliance брифинг. Това, което не се е променило, е честотата. Виждаме същия модел в почти всеки клиентски разговор, просто без заглавието.

Числото, което всеки изпълнителен директор трябва да знае

През 2025 IBM проучи над 600 организации в света за инциденти с данни. Централната находка:

Инцидент с висока Shadow AI активност струва на компаниите средно 670 000 евро повече от сравним инцидент без AI измерение.

Към това:

• Една от пет организации вече е докладвала инцидент, свързан със Shadow AI
• 97 % от засегнатите организации не са имали никакъв контрол върху достъпа за AI инструменти
• 63 % изобщо нямат AI governance политика
• При две трети от тези инциденти са били засегнати клиентски данни

Това вече не е теоретичен риск. За всяка пета компания това вече е реалност. За останалите четири това е въпрос на вероятност, не на възможност.

Три сценария, които виждаме всяка седмица в практиката

Сценарий едно. Сътрудник в търговския отдел на средно голяма европейска компания има 60 минути да отговори на сложно клиентско запитване. Тя поставя запитването, заедно с името на клиента, историята на поръчките и договорните условия, в ChatGPT, моли за чернова и изпраща отличен отговор. Данните вече са при доставчика. Дали се използват за обучение зависи от типа акаунт, който тя сама е настроила, с личен имейл.

Сценарий две. Ръководител на отдел седи в неделя вечер върху презентация за заседанието на борда в понеделник. Той поставя поверителни тримесечни числа в чатбот, за да изглади формулировките. Личен лаптоп, не служебното устройство. Данните излязоха, никаква следа в IT логовете.

Сценарий три. Маркетинг стажант трябва да предаде анализ на конкуренцията до четвъртък. Използва AI инструмент, който е открил в TikTok. Доставчикът е базиран някъде. Местоположението на данните е документирано никъде. Възможно е Китай. Възможно е EU. Никой никога не е проверявал.

Според LayerX доклада от 2025, 77 % от служителите в по-големи компании редовно поставят съдържание в чатботове. 68 % използват безплатни версии чрез лични акаунти. Повече от половината въвеждат чувствителна информация. Това не са изключения. Това е нормата.

Какво казват GDPR и EU AI Act

Поставянето на данните на клиентите ви в ChatGPT.com не е само емоционален проблем. В много случаи е правонарушение.

GDPR изисква да знаете къде се обработват лични данни, кой ги вижда и на какво правно основание. Служител, който постави данни в неодобрен инструмент, създава обработка на данни, която не сте проверили, нито осигурили договорно, нито документирали. При инцидент ръководството носи отговорност, не отделният служител.

От 2 август 2026 EU AI Act добавя допълнителни санкции. За забранени практики до 35 милиона евро или 7 % от глобалния годишен оборот, в зависимост от това коя сума е по-висока. Какво трябва да бъде на място до тогава, разглеждаме в нашата пътна карта за EU AI Act.

Какво работи и какво не

Първото нещо, което много компании опитват, е и най-слабото: забрана. Блокиране на ChatGPT в браузъра, блокиране на всички AI инструменти, заплашително служебно писмо от CISO. Това не решава проблема, а го изтласква в скрита зона. Служителите тогава използват смартфони, лични устройства или един от десетките алтернативи, които са им препоръчани в LinkedIn. Вече не може да измерите нищо, а данните продължават да текат.

Това, което действително работи, е следната последователност:

Първо: предложете официално одобрена, сигурна алтернатива. Докато служителите ви нямат добро легитимно решение, ще намерят неоптимални. За писане и изследвания обикновено стига Microsoft 365 Copilot Enterprise. За по-дълбок достъп до знания Корпоративен LLM на собствена инфраструктура.

Второ: кратка, ясна Acceptable Use Policy. Три страници, без правнически жаргон. Какво може да влезе, какво не, какво да правят при съмнение.

Трето: обучавайте, не наставлявайте. Служители, които разбират защо нещо е проблем, спазват правилата по-надеждно от тези, които просто са подписали PDF.

Четвърто: брифирайте борда с честни числа. Ако ръководството не знае къде се намира компанията днес, не може да реши къде да бъде утре.

Започнете сега

Shadow AI не е обратимо. Данни, които веднъж са напуснали компанията, не се връщат. Рискът обаче може да бъде контролиран, ако го адресирате сега, а не след първия инцидент. Помагаме на компании с инвентаризация, изготвяне на политики и въвеждане на по-безопасни алтернативи. Ако това е в дневния ви ред, свържете се с нас.

Източници

• IBM Security, „Cost of a Data Breach Report 2025"
• IBM Newsroom, „13 % of Organizations Reported Breaches of AI Models or Applications, 97 % of Which Lacked Proper AI Access Controls", юли 2025
• LayerX, „Enterprise AI and SaaS Data Security Report 2025"
• Bloomberg, „Samsung Bans Generative AI Use by Staff After ChatGPT Data Leak", май 2023
• EU AI Act, член 99 (Санкции)