Shadow AI

Прошле недеље сам био на ручку са три пријатеља; један је директор, други је главни инжењер, а трећи је власник приватне фирме. Причали смо мало о послу и сумирали радни дан, и у једном тренутку директор каже: „Не могу да верујем да сам цео дан изгубио на састанцима о одговорном коришћењу вештачке интелигенције на нивоу целе корпорације. Имамо корпоративне лиценце за AI софтвер али треба да обучимо људе шта од поверљивих података смеју а шта не смеју да убацују у AI алате. Знамо да већина користи и друге AI алате, не само компанијске, али још увек нисмо донели сва упутства и препоруке за запослене“.

И ту је, у тој последњој реченици, директор сасвим случајно дефинисао појам који се последњих годину дана све чешће чује. Shadow AI - неовлашћена употреба алата вештачке интелигенције у послу, мимо знања и одобрења организације.

Shadow AI. Звучи помало злоћудно, као нешто из хорор филма. Сенка. Вештачка интелигенција која вреба из мрака. А ради се, у суштини, о нечему много ближем ономе што се дешава у скоро свакој канцеларији у Србији. И док се највиши менаџмент и даље пита „треба ли нам AI стратегија“, њихови људи су одавно донели одлуку уместо њих. Тема је важна управо сада јер се отворио јаз: усвајање је претекло управљање за неколико година, а 2026. тај јаз престаје да буде само питање продуктивности и постаје питање усклађености са законом.

Хајде да раздвојимо две ствари које људи стално трпају у исту фиоку.

Једна ствар је вештачка интелигенција као алат. То је програм који нешто ради: пише, сажима, преводи, предлаже. Друга ствар је ко тај алат користи, како, и да ли за то ико зна. То су два потпуно различита питања, а у главама већине људи спојила су се у једно.

Shadow AI није нека посебна, опаснија врста вештачке интелигенције. То је исти онај алат који сви знају. Разлика је једино у томе што га запослени користе а да фирма о томе нема појма. Без дозволе и без икаквог договора. У сенци. Отуда је и добила име.

Е сад, људи чују „shadow“ и помисле да је у питању нешто злонамерно. Неки хакер, неки вирус, или нешто што треба ловити. А заправо је реч о сасвим добронамерној колегиници која само хоће брже да заврши посао. Она не мисли да ради ишта спорно. Вероватно јој никад није ни пало на памет да би то могло постати или бити проблем. Искористила је AI алат који јој олакшава дан, као што редовно узме калкулатор уместо да рачуна на папиру.

Откуд онда уопште прича о сенци?

Зато што фирма не зна шта улази у те алате. Колегиница залепи у прозорчић уговор, листу клијената, бројеве, податке о платама и шта год јој треба да посао буде готов. И то негде оде. На неки сервер, у нечију туђу машину. Она то не види као слање података. Она то види као куцање у један прозор на екрану. А то су две веома различите ствари, само што изгледају идентично.

Мислим да је баш ту корен целе забуне. Ми смо навикли да машина на нашем столу ради за нас, код нас, у нашој канцеларији, у нашој радној соби. Верујемо свом компјутеру јер је наш. А ови нови алати изгледају исто тако: прозор, курсор, слова која се појављују - али иза тог прозора више није наша соба. Тамо је неко други.

Разлика је суптилна и баш зато је опасна.

Занимљиво је и то како се појам шири. Пре пар година причало се о „shadow IT“, кад запослени користе неки програм или апликацију коју IT служба није одобрила. Неко инсталира свој омиљени алат за пребацивање фајлова, неко користи приватни Google Drive за пословне ствари. Стара прича. Shadow AI је само нова генерација исте појаве. Људи су одувек налазили пречице. Кад им званични алати не ваљају или их нема, снађу се сами.

То је најчешће знак да људи хоће да раде боље. Онај ко се не труди, не тражи пречице. Тај само чека крај радног времена. Shadow AI се појављује баш тамо где има енергије, где неко покушава да буде ефикаснији него што му систем дозвољава.

Наравно, то не значи да је све у реду. Али приметио сам да се о томе прича погрешним речима. Говори се о „претњи“, о „ризику“, о „контроли“, а у основи је само обичан људски порив да се посао олакша, комбинован са чињеницом да нико није размислио где ти подаци заправо одлазе.

Овде се крије најфасцинантнији део приче, а то је разлика у перцепцији ризика. Извештај ManageEngine открива да, док 97% IT руководилаца види значајан ризик у Shadow AI-ју, чак 91% запослених не види ризик, види мали ризик или сматра да је ризик надмашен користима.

Хајде да застанемо мало над овим бројевима. Две групе људи у истој фирми гледају у исти феномен и виде два потпуно различита света. Ја овде не видим проблем дисциплине, већ проблем комуникације за запосленима и потребу за њиховом обуком. Кажњавање запосленог који искрено не перципира опасност неће променити ништа. Можда ће га само гурнути да се са употребом AI алата повуче још дубље у сенку.

Шта бројеви заправо говоре

Утицај овог феномена је оно што изненађује чак и технолошки писмене руководиоце. Према истраживању компаније ManageEngine спроведеном 2025, 93% запослених признаје да уноси информације у AI алате без одобрења, а 60% користи неодобрене алате више него пре годину дана. Гартнерова анкета међу лидерима за сајбер-безбедност из 2025. показује да 69% организација сумња или има доказе да запослени користе забрањене јавне генеративне AI алате.

А онда долази и цена оваквог начина рада. Према извештају IBM-а "Cost of a Data Breach 2025", Shadow AI је допринео у 20% случајева цурења података и додао у просеку 670.000 долара на трошак сваког овог инцидента, док 63% организација уопште нема политику управљања AI-јем. Веризонов извештај из 2025. открива и механику цурења: од запослених који приступају генеративном AI-ју на корпоративним уређајима, чак 72% се пријављује преко личних налога, а само 11% користи контролисане корпоративне канале.

Другим речима: није реч о неколицини „бунтовника“. Реч је о тихом, масовном консензусу ваших запослених да је неформални алат бољи од онога што сте им (ако сте им уопште ишта) понудили.

Да рашчистимо још једну ствар, јер овде прича постаје озбиљнија.

Постоје фирме где Shadow AI није само незгодна навика, него питање које вам може срушити свет на главу. Банке. Болнице и домови здравља. Мобилни оператери. Школе и факултети. Све су ово места где у систему постоје подаци о обичним људима: ЈМБГ, дијагнозе, бројеви рачуна, ко кога зове и када, оцене деце. Ту није реч о вашој интерној табели коју нико са стране неће ни погледати. Ту је реч о подацима о животима других људи, поверенима вама на чување.

Замислите само да медицинска сестра, да би брже срочила отпусну листу, залепи у AI прозорчић налаз пацијента са именом, презименом и дијагнозом.

Или да службеник у банци убаци списак клијената да му алат „лепо среди“ табелу.

Нико од њих не мисли зло. Обоје само желе да заврше посао пре краја смене. А податак је у том тренутку већ напустио зграду и отишао негде где га ни сестра ни службеник више не могу вратити, ни избрисати, ни објаснити где је.

Е ту је враг однео шалу.

Јер банке, здравство и телекомуникације не одговарају само својој савести. Изнад њих стоје закони, регулатори, инспекције. Постоји пропис о заштити података о личности, постоје правила Народне банке, постоје обавезе које се тичу и казни које умеју да буду велике. Кад податак неког пацијента или клијента процури кроз један такав прозорчић, то више није „упс, колега је нешто погрешио“. То је пропуст за који одговара цела установа.

А најгоре је што се то дешава потпуно невидљиво. Нема провале, нема хаковања, нема никога ко је нешто „украо“. Само добронамеран запослени, прозор на екрану, и податак који је тихо отишао. Без трага. Нико чак и не зна да се то догодило, све док не буде касно.

Како премостити овај проблем? Први импулс код шефова је да се забрани коришћење AI алата, јер је то најбрже решење. Али забрана ретко кад заиста упали, јер онај ко хоће да се снађе, снаћи ће се и мимо забране, само још тише и још скривеније. Онда заиста можемо да паднемо у сенку из које нема повратка.

Оно што се показало као смисленије јесте сасвим друга логика. Прво треба дати људима алат којем фирма верује, уместо да их терате да крадомице користе туђе. Ако медицинска сестра или службеник имају на располагању нешто што је установа проверила, одобрила и сместила у сопствену зграду, неће морати да се сналазе на своју руку. Порив да се посао олакша остаје исти, само на овај начин добија пристојну реализацију.

Обавезно треба објаснити људима разлику коју до сада нису видели. Ону разлику између прозора који је „наш“ и прозора који само тако изгледа. Већина људи који праве овај пропуст немају појма да га праве. Нико им никад није рекао куда тај текст одлази кад притисну ентер. А кад схвате, углавном сами стану. У највећем броју случајева људи нису несавесни, само су необавештени.

На крају мора да се раздвоји шта сме да се обради помоћу таквог алата, а шта никако не сме. Једно је тражити помоћ да се срочи општи допис. Сасвим друго је убацити име, ЈМБГ, дијагнозу и број здравствене картице у исти тај прозор. Граница употребе алата је управо у подацима које му поверавате. И само ви можете да дефинишете ту границу, а не AI алат.

Испред сваког тог прозора и даље седи човек који користи алат. Алат не ради ништа сам од себе. Он може да предложи, али ви одлучујете и ви сносите одговорност за оно што сте му поверили. Машина не може преузети кривицу - она је алат и ништа више. А у установи где се чувају туђи подаци, та одговорност тежа је него било где друго.

Сенка која ускоро добија правну цену

Shadow AI није будућа претња, већ садашња стварност у готово свакој организацији, укључујући вероватно и вашу. То није проблем недисциплинованих запослених, већ проблем вакуума у управљању који сте, хтели или не, сами оставили. Одговор није забрана, већ усмеравање: јасна правила, добар алат и обука.

До сада је Shadow AI био углавном питање продуктивности и безбедности. Од 2026. постаје питање закона. Најважнији рок за већину предузећа је 2. август 2026. године, када постају обавезујуће одредбе ЕУ Акта о вештачкој интелигенцији за високоризичне системе, укључујући AI у запошљавању, кредитним одлукама и образовању. Казне достижу до 35 милиона евра или 7% глобалног годишњег промета, што је много строже него GDPR прекршај.

Преведено на српски језик бизниса: ако ваш HR користи неевидентирани AI за сортирање кандидата, то ће бити регулисана, кажњива радња. Организације које сада легализују и усмере употребу AI-ја купују себи предност.

Остаје, додуше, једно питање које ме копка. Кад је нешто свуда око нас, а нико о томе не говори наглас, да ли је то још увек сенка, или је одавно постало дневна светлост коју једноставно не примећујемо?