Dla multiagencji ubezpieczeniowej stawką nie jest samo „spełnienie wymogów” – stawką jest zaufanie. Pytanie brzmi więc nie czy, tylko jak wdrożyć ochronę danych klientów w rzeczywistości, w której modele generatywne są tak samo dostępne dla nas, jak i dla przestępców.

Dane klientów przestały być zwykłymi rekordami w bazie. Teraz są materiałem, na którym uczą się algorytmy. Każda informacja może zostać wykorzystana do trenowania modeli, przewidywania zachowań, automatyzacji decyzji.

Według najnowszych badań, 68% naruszeń danych miało związek z pracownikami (błąd lub socjotechnika), a cyberprzestępcy coraz częściej wykorzystują AI do przeprowadzania ataków.

Prawo próbuje nadążyć za technologią

AI Act to pierwsza próba okiełznania sztucznej inteligencji. UE stworzyła przepisy, które dzielą systemy AI według poziomu ryzyka. To rozsądne podejście – chatbot obsługujący zapytania klientów to zupełnie co innego niż system automatycznie odrzucający wnioski o odszkodowanie. Do 2026 r. systemy wysokiego ryzyka będą musiały przejść szczegółową weryfikację. To moment, gdy firmy będą musiały odpowiedzieć sobie na pytanie: czy naprawdę wiemy, co robią nasze algorytmy? Czy firmowy chatbot informuje użytkowników, że jest AI?

Stare dobre RODO wciąż obowiązuje, ale teraz nabiera nowego znaczenia. Każde przetwarzanie danych klientów musi mieć podstawę prawną i respektować prawa osób, których dane dotyczą. Jeśli AI automatycznie ocenia klientów lub podejmuje decyzje, firma musi zapewnić możliwość ingerencji człowieka w ten proces (wymóg art. 22 RODO). Wdrożenie nowego narzędzia AI zwykle wymaga również analizy ryzyka dla prywatności – oceny skutków dla ochrony danych (DPIA) – aby zawczasu wykryć i zminimalizować zagrożenia.

Digital Operational Resilience Act (DORA) każe myśleć o bezpieczeństwie inaczej. Zamiast tylko bronić się przed atakami, trzeba budować systemy, które przetrwają, nawet gdy coś pójdzie nie tak. To zmiana filozofii: zakładamy, że atak się wydarzy, i przygotowujemy się na to z wyprzedzeniem. DORA obejmuje podmioty sektora finansowego, w tym zakłady ubezpieczeń i większych pośredników ubezpieczeniowych – MŚP są wyłączone, ale warto wdrożyć jego zalecenia jako dobre praktyki, szczególnie gdy współpracują z podmiotami objętymi rozporządzeniem. KNF oczekuje poważnego podejścia do cyberzagrożeń.

Nowe zagrożenia: Phishing AI, deepfake, wycieki danych i shadow AI

Czasy, gdy phishing można było rozpoznać po błędach językowych, odeszły do lamusa. Modele językowe generują e-maile nie do odróżnienia od prawdziwych. AI analizuje wzorce komunikacji firm, wyciąga psychologiczne triggery z tysięcy przykładów, tworzy wiadomości idealnie dopasowane do odbiorcy. To już nie jest prosta próba oszustwa – to zaawansowana manipulacja psychologiczna wsparta algorytmami.

Techniki deepfake umożliwiają tworzenie fałszywych nagrań audio/wideo, które trudno odróżnić od prawdziwych. Notowano oszustwa inwestycyjne z użyciem podrobionego głosu celebryty lub prezesa – ofiary uwierzyły i przekazały oszustom pieniądze. A naprawdę niewiele trzeba, czasem kilka minut nagrania, żeby stworzyć klon czyjegoś głosu.

Shadow AI – niewidzialne ryzyko. Pracownicy sami zaczynają używać narzędzi AI, często bez wiedzy firmy. Ktoś wrzuca dane klientów do chata GPT na prywatnym koncie, bo „tak jest szybciej”. Problem w tym, że te dane trafiają do zewnętrznej firmy, która może je wykorzystać do trenowania swoich modeli. To pokazuje szerszy problem: technologia rozprzestrzenia się szybciej niż procedury bezpieczeństwa.

Wycieki danych. Bazodanowe „spady” to dziś najwyższe ryzyko. Według raportu IBM Cost of a Data Breach 2025, 13% organizacji zgłosiło naruszenia modeli lub aplikacji AI w okresie od marca 2024 do lutego 2025, przy czym 97% z nich nie posiadało odpowiednich kontroli dostępu do AI.

Dobre praktyki w zakresie cyberbezpieczeństwa AI

Polityka AI to więcej niż lista zakazów. Dobra polityka wykorzystania AI w firmie to dokument, który wyjaśnia nie tylko, co wolno, ale też dlaczego. Pracownicy muszą rozumieć naturę zagrożeń, nie tylko ślepo przestrzegać reguł. Szkolenia powinny uczyć krytycznego myślenia o AI, nie tylko obsługi konkretnych narzędzi.

W świecie AI szyfrowanie jest jeszcze ważniejsze. Nie chodzi tylko o to, by haker nie mógł przeczytać danych. Chodzi o to, by dane treningowe pozostały pod naszą kontrolą. Kto kontroluje klucze szyfrujące, ten kontroluje informacje – i to, jak zostaną wykorzystane.

Analiza wpływu na prywatność w kontekście AI to jak tworzenie mapy nieznanych terytoriów. Odkrywamy, jakie dane system przetwarza, jak je łączy, jakie wzorce znajduje. To pozwala zobaczyć potencjalne problemy, zanim się pojawią.

Każda firma powinna mieć scenariusz działania na wypadek wycieku danych lub ataku. Kto co robi, kogo informujemy, jak minimalizujemy szkody. To nie może być dokument w szufladzie – trzeba go regularnie ćwiczyć. Gdy wydarzy się prawdziwy incydent, nie ma czasu na zastanawianie się.

Wnioski: Świadoma koegzystencja z AI

Bezpieczeństwo w erze AI to nie jednorazowy projekt, który można zakończyć i odhaczyć. To ciągły proces uczenia się, adaptacji, przewidywania nowych zagrożeń.

Multiagencje muszą znaleźć równowagę między wykorzystaniem możliwości AI a ochroną tego, co najważniejsze – zaufania klientów i ich danych. To wymaga nie tylko wiedzy technicznej, ale też głębszego zrozumienia, jak AI zmienia naturę biznesu ubezpieczeniowego.

Prawdziwe wyzwanie polega na tym, by zachować ludzki wymiar relacji z klientem w coraz bardziej zautomatyzowanym świecie. Technologia ma nam służyć, nie zastępować. Bezpieczeństwo danych to tylko część większej układanki – jak budować biznes, który wykorzystuje moc AI, nie tracąc przy tym swojej tożsamości i wartości.

Zbigniew Rzepkowski
Project Manager / Product Owner / AI Manager