„Před měsícem jsme ukázali, že umělá inteligence dokáže proniknout do firemní sítě za 21 hodin zvenku. Poslední dobou vidíme že si zaměstnanci pouští AI do firem dobrovolně každý den a nikdo o tom neví.“ – Patrik Žák, SYSNETSHIELD.
Problém, o kterém se v Česku nemluví
Shadow AI – neschválené používání AI nástrojů na pracovišti – je podle dat IBM, Microsoftu a dalších firem nejrychlejší rostoucí bezpečnostní hrozbou roku 2026. Čísla jsou alarmující:
- 80 % zaměstnanců používá neschválené AI nástroje v práci (UpGuard, 2025).
- 78 % si přináší vlastní AI nástroje do zaměstnání – tzv. BYOAI (Microsoft, 2024).
- 57 % zaměstnanců své používání AI aktivně skrývá před zaměstnavatelem (KPMG, 2025 – průzkum 48 000 lidí ve 47 zemích).
- Každá pátá organizace na světě už zažila bezpečnostní incident způsobený Shadow AI (IBM, 2025).
Co se děje v praxi
Vývojáři kopírují zdrojový kód do AI nástrojů. Personalisté analyzují životopisy uchazečů v ChatGPT – přímé porušení GDPR. Obchodníci vkládají nabídky s cenami a jmény zákazníků. Finanční oddělení zadává rozvahová čísla do AI sumarizérů. A právníci vkládají důvěrné klientské dokumenty.
„Po penetračních testech se snažíme firmám pomáhat s jejich zabezpečením. Na vlastní oči jsme viděli jak technik vkládal své administrátorské přihlašovací údaje do AI se slovy: „To je v pohodě, mám vypnuté učení na datech a potřebuji, aby mi AI dala přesné příkazy abychom mohli opravit chybu a rychle se pohnout v práci vpřed.“ – Patrik Žák
Podle analýzy společnosti Harmonic Security, která prozkoumala 22,4 milionu firemních promptů, obsahovalo citlivá data více než 579 000 z nich – zdrojové kódy, právní dokumenty, finanční data i přístupové údaje. Téměř 17 % těchto úniků přitom probíhalo přes osobní účty zaměstnanců, kde firma nemá žádnou kontrolu.
Proč je to horší než klasické Shadow IT
Klasický Shadow IT – Dropbox místo SharePointu, WhatsApp místo Teams – byl rizikový, ale opravitelný. Aplikaci šlo odpojit, data přesunout, incident uzavřít.
„Shadow AI je strukturálně odlišné. Jakmile citlivá data vstoupí do veřejného AI modelu, nelze je odvolat. Model se z nich učí. Nemůžete zavolat na zákaznickou linku a říct: „Smažte, to, na co se můj zaměstnanec včera zeptal. Ta data jsou navždy mimo vaši kontrolu.“ – Patrik Žák
Neviditelné hrozby: Portable aplikace a lokální AI modely
Patrik Žák upozorňuje na hrozby, které většina firem vůbec nezná:
- Portable aplikace – programy, které nevyžadují instalaci. Spustí se přímo ze složky nebo USB disku, neregistrují se v systému Windows, nespadnou do softwarového auditu a obcházejí firemní bezpečnostní politiky.
- Rozšíření prohlížeče – AI doplňky v Chrome nebo Edge, které procházejí šifrovaným provozem mimo firemní proxy.
„Portable aplikace jsou slepá místa. Pro firmy jsou přitom mimořádně nebezpečné: zaměstnanec si stáhne portable verzi prohlížeče s AI rozšířením a většina bezpečnostních nástrojů to jednoduše nevidí.“ – Patrik Žák
Tři zákony, jeden prompt
České firmy čelí bezprecedentní regulační situaci. Jeden zaměstnanec, který vloží zákaznická data do bezplatného ChatGPT, může spustit porušení tří právních předpisů najednou:
| Zákon | Platnost | Pokuta |
| GDPR | Od roku 2018 | Až 20 mil. EUR nebo 4 % obratu |
| Zákon o kybernetické bezpečnosti (NIS2) | Od 1. 11. 2025 | Až 250 mil. Kč nebo 2 % obratu |
| EU AI Act (plná vymahatelnost) | Od 2. 8. 2026 | Až 35 mil. EUR nebo 7 % obratu |
„Máme méně než 5 měsíců do plné vymahatelnosti AI Actu. Kyberzákon platí od loňského listopadu a dopadá na zhruba 6 000 českých firem. Když k tomu přidáte nekontrolované používání AI, vzniká dokonalá regulační bouře.“ – Patrik Žák
České firmy: Rychlá adaptace, nulová pravidla
Podle průzkumu AIMomentum 2026 (ČAUI a Hospodářská komora ČR, 1 033 firem) polovina českých firem AI aktivně používá nebo testuje – oproti 18 % v roce 2025. Adaptace na AI tedy explodovala. Jenže podle IBM 63 % organizací nemá žádnou politiku pro řízení AI nebo ji teprve tvoří.
„Je to jako kdybyste zdvojnásobili počet aut na silnicích, ale zapomněli namalovat čáry a pověsit značky. Nikdo neporušuje pravidla ze zlého úmyslu. Zaměstnanci prostě potřebují efektivní nástroje, a pokud jim je firma nedá, najdou si je sami za dvě minuty.“ – Patrik Žák
Řešení: Řídit, ne zakazovat
Globální bezpečnostní komunita se shoduje na jednom: plošný zákaz AI nefunguje. Zaměstnanec přepne na mobilní telefon s osobním datovým plánem, vyfotí obrazovku nebo použije portable prohlížeč z USB disku.
Žák doporučuje českým firmám pět konkrétních kroků:
- Audit – zjistit, jaké AI nástroje v síti skutečně běží (včetně portable aplikací a lokálních modelů).
- Politika – jasná, srozumitelná pravidla pro používání AI (ne 50stránkový dokument, ale praktický návod).
- Schválené alternativy – poskytnout zaměstnancům nástroje, které jsou minimálně stejně dobré jako ty spotřebitelské.
- Vzdělávání – AI gramotnost je od února 2025 povinnost podle článku 4 EU AI Actu.
- Monitoring bez blokování – viditelnost jako první krok, ne represe.
„Nezakazujte ChatGPT. Řekněte lidem: „Tady máte schválený nástroj, tady jsou pravidla, tady jsou hranice.“ – Patrik Žák
O společnosti SYSNETSHIELD
SYSNETSHIELD je česká firma specializující se na kybernetickou bezpečnost, penetrační testování a bezpečnostní audity firemní infrastruktury. Firma pod vedením Patrika Žáka pravidelně testuje odolnost organizací vůči moderním hrozbám – včetně útoků vedených umělou inteligencí. V únoru 2026 SYSNETSHIELD zveřejnil výsledky testu, ve kterém AI model autonomně pronikl do simulované firemní sítě za 21 hodin.