Praha 21. dubna 2026 (PROTEXT) – Český expert na kybernetickou bezpečnost Patrik Žák ze společnosti SYSNETSHIELD upozorňuje na fenomén, který v tuzemsku téměř nikdo neřeší: tzv. Shadow AI. Zaměstnanci masově vkládají firemní data, smlouvy a zdrojový kód do neschválených AI nástrojů jako ChatGPT, Gemini nebo DeepSeek, a to bez vědomí zaměstnavatele. Podle mezinárodních studií se to týká více než 80 % pracovníků. Firmy přitom riskují pokuty z trojice zákonů najednou: GDPR, NIS2 i AI Act.

„Před měsícem jsme ukázali, že umělá inteligence dokáže proniknout do firemní sítě za 21 hodin zvenku. Poslední dobou vidíme že si zaměstnanci pouští AI do firem dobrovolně každý den a nikdo o tom neví.“ – Patrik Žák, SYSNETSHIELD.

Problém, o kterém se v Česku nemluví

Shadow AI – neschválené používání AI nástrojů na pracovišti – je podle dat IBM, Microsoftu a dalších firem nejrychlejší rostoucí bezpečnostní hrozbou roku 2026. Čísla jsou alarmující:

  • 80 % zaměstnanců používá neschválené AI nástroje v práci (UpGuard, 2025).
  • 78 % si přináší vlastní AI nástroje do zaměstnání – tzv. BYOAI (Microsoft, 2024).
  • 57 % zaměstnanců své používání AI aktivně skrývá před zaměstnavatelem (KPMG, 2025 – průzkum 48 000 lidí ve 47 zemích).
  • Každá pátá organizace na světě už zažila bezpečnostní incident způsobený Shadow AI (IBM, 2025).

Co se děje v praxi

Vývojáři kopírují zdrojový kód do AI nástrojů. Personalisté analyzují životopisy uchazečů v ChatGPT – přímé porušení GDPR. Obchodníci vkládají nabídky s cenami a jmény zákazníků. Finanční oddělení zadává rozvahová čísla do AI sumarizérů. A právníci vkládají důvěrné klientské dokumenty.

„Po penetračních testech se snažíme firmám pomáhat s jejich zabezpečením. Na vlastní oči jsme viděli jak technik vkládal své administrátorské přihlašovací údaje do AI se slovy: „To je v pohodě, mám vypnuté učení na datech a potřebuji, aby mi AI dala přesné příkazy abychom mohli opravit chybu a rychle se pohnout v práci vpřed.“ – Patrik Žák

Podle analýzy společnosti Harmonic Security, která prozkoumala 22,4 milionu firemních promptů, obsahovalo citlivá data více než 579 000 z nich – zdrojové kódy, právní dokumenty, finanční data i přístupové údaje. Téměř 17 % těchto úniků přitom probíhalo přes osobní účty zaměstnanců, kde firma nemá žádnou kontrolu.

Proč je to horší než klasické Shadow IT

Klasický Shadow IT – Dropbox místo SharePointu, WhatsApp místo Teams – byl rizikový, ale opravitelný. Aplikaci šlo odpojit, data přesunout, incident uzavřít.

„Shadow AI je strukturálně odlišné. Jakmile citlivá data vstoupí do veřejného AI modelu, nelze je odvolat. Model se z nich učí. Nemůžete zavolat na zákaznickou linku a říct: „Smažte, to, na co se můj zaměstnanec včera zeptal. Ta data jsou navždy mimo vaši kontrolu.“ – Patrik Žák

Neviditelné hrozby: Portable aplikace a lokální AI modely

Patrik Žák upozorňuje na hrozby, které většina firem vůbec nezná:

  • Portable aplikace – programy, které nevyžadují instalaci. Spustí se přímo ze složky nebo USB disku, neregistrují se v systému Windows, nespadnou do softwarového auditu a obcházejí firemní bezpečnostní politiky.
  • Rozšíření prohlížeče – AI doplňky v Chrome nebo Edge, které procházejí šifrovaným provozem mimo firemní proxy.

„Portable aplikace jsou slepá místa. Pro firmy jsou přitom mimořádně nebezpečné: zaměstnanec si stáhne portable verzi prohlížeče s AI rozšířením a většina bezpečnostních nástrojů to jednoduše nevidí.“ – Patrik Žák

Tři zákony, jeden prompt

České firmy čelí bezprecedentní regulační situaci. Jeden zaměstnanec, který vloží zákaznická data do bezplatného ChatGPT, může spustit porušení tří právních předpisů najednou:

Zákon Platnost Pokuta
GDPR Od roku 2018 Až 20 mil. EUR nebo 4 % obratu
Zákon o kybernetické bezpečnosti (NIS2) Od 1. 11. 2025 Až 250 mil. Kč nebo 2 % obratu
EU AI Act (plná vymahatelnost) Od 2. 8. 2026 Až 35 mil. EUR nebo 7 % obratu

„Máme méně než 5 měsíců do plné vymahatelnosti AI Actu. Kyberzákon platí od loňského listopadu a dopadá na zhruba 6 000 českých firem. Když k tomu přidáte nekontrolované používání AI, vzniká dokonalá regulační bouře.“ – Patrik Žák

České firmy: Rychlá adaptace, nulová pravidla

Podle průzkumu AIMomentum 2026 (ČAUI a Hospodářská komora ČR, 1 033 firem) polovina českých firem AI aktivně používá nebo testuje – oproti 18 % v roce 2025. Adaptace na AI tedy explodovala. Jenže podle IBM 63 % organizací nemá žádnou politiku pro řízení AI nebo ji teprve tvoří.

„Je to jako kdybyste zdvojnásobili počet aut na silnicích, ale zapomněli namalovat čáry a pověsit značky. Nikdo neporušuje pravidla ze zlého úmyslu. Zaměstnanci prostě potřebují efektivní nástroje, a pokud jim je firma nedá, najdou si je sami za dvě minuty.“ – Patrik Žák

Řešení: Řídit, ne zakazovat

Globální bezpečnostní komunita se shoduje na jednom: plošný zákaz AI nefunguje. Zaměstnanec přepne na mobilní telefon s osobním datovým plánem, vyfotí obrazovku nebo použije portable prohlížeč z USB disku.

Žák doporučuje českým firmám pět konkrétních kroků:

  1. Audit – zjistit, jaké AI nástroje v síti skutečně běží (včetně portable aplikací a lokálních modelů).
  2. Politika – jasná, srozumitelná pravidla pro používání AI (ne 50stránkový dokument, ale praktický návod).
  3. Schválené alternativy – poskytnout zaměstnancům nástroje, které jsou minimálně stejně dobré jako ty spotřebitelské.
  4. Vzdělávání – AI gramotnost je od února 2025 povinnost podle článku 4 EU AI Actu.
  5. Monitoring bez blokování – viditelnost jako první krok, ne represe.

„Nezakazujte ChatGPT. Řekněte lidem: „Tady máte schválený nástroj, tady jsou pravidla, tady jsou hranice.“ – Patrik Žák

 

O společnosti SYSNETSHIELD

SYSNETSHIELD je česká firma specializující se na kybernetickou bezpečnost, penetrační testování a bezpečnostní audity firemní infrastruktury. Firma pod vedením Patrika Žáka pravidelně testuje odolnost organizací vůči moderním hrozbám – včetně útoků vedených umělou inteligencí. V únoru 2026 SYSNETSHIELD zveřejnil výsledky testu, ve kterém AI model autonomně pronikl do simulované firemní sítě za 21 hodin.

Web: sysnetshield.com

 

Zdroj: SYSNETSHIELD