Blog
Deepfake zagrożeniem dla polskich firm w 2026 r.

Deepfake zagrożeniem dla polskich firm w 2026 r.

Technologia deepfake przestała być wyłącznie problemem celebrytów i polityków. W 2026 roku stanowi ona realne zagrożenie dla polskich firm działających w Danii, ich pracowników i menedżerów budowlanych, którzy codziennie podejmują decyzje finansowe i kadrowe na podstawie informacji przesyłanych cyfrowo. Fałszywe nagrania wideo, sklonowane głosy i podrobione dokumenty tożsamości trafiają już do skrzynek mailowych małych i średnich przedsiębiorstw, a skutki takich ataków mogą być poważne zarówno prawnie, jak i finansowo.

Czym jest deepfake i dlaczego firmy powinny się bać?

Deepfake to treść audiowizualna wygenerowana lub zmanipulowana przez algorytmy sztucznej inteligencji w taki sposób, że człowiek nie jest w stanie odróżnić jej od oryginału gołym okiem. Jeszcze kilka lat temu stworzenie przekonującego fałszywego nagrania wymagało zaawansowanego sprzętu i wiedzy specjalistycznej. Dziś wystarczy ogólnodostępne narzędzie online i kilka minut nagrania głosu danej osoby. Dla polskich podwykonawców budowlanych pracujących w Danii, gdzie komunikacja z centralą w Polsce odbywa się głównie przez wideokonferencje i wiadomości głosowe, oznacza to zupełnie nowe pole ryzyka.

Wyobraźmy sobie hipotetyczną sytuację: kierownik budowy w Kopenhadze odbiera pilną wiadomość głosową od osoby podszywającej się pod prezesa firmy z Warszawy. Głos brzmi identycznie, ton jest znajomy, a polecenie dotyczy natychmiastowego przelewu zaliczki na konto nowego dostawcy. Bez procedur weryfikacyjnych taki atak może zakończyć się realną stratą finansową, a odpowiedzialność za transakcję może spaść na samego pracownika lub menedżera, który ją autoryzował.

Ramy prawne: co mówi prawo UE i duńskie przepisy?

Na poziomie Unii Europejskiej kluczowym dokumentem regulującym kwestie związane ze sztuczną inteligencją jest Rozporządzenie UE w sprawie sztucznej inteligencji (AI Act), które weszło w życie w 2024 roku i stopniowo obejmuje kolejne kategorie systemów AI. Przepisy te nakładają na twórców i dystrybutorów narzędzi generatywnej AI obowiązek znakowania treści syntetycznych, jednak egzekwowanie tych zasad wobec podmiotów spoza UE jest nadal poważnym wyzwaniem praktycznym. Pełny tekst rozporządzenia dostępny jest w bazie EUR-Lex.

W Danii ochrona przed cyberprzestępczością regulowana jest m.in. przez przepisy krajowego kodeksu karnego oraz przepisy wdrażające unijne dyrektywy dotyczące bezpieczeństwa sieci i informacji (dyrektywa NIS2). Duńskie organy nadzorcze, w tym Datatilsynet odpowiadający za ochronę danych osobowych, podkreślają, że naruszenie danych pracowniczych w wyniku ataku opartego na deepfake może rodzić obowiązki sprawozdawcze po stronie pracodawcy. Firmy budowlane zatrudniające pracowników delegowanych powinny być szczególnie świadome, że dane kadrowe, numer CPR czy informacje o certyfikacie A1 stanowią wrażliwe dane, których kradzież może skutkować dalszymi nadużyciami.

Obowiązki pracodawcy a ochrona danych

Zgodnie z unijnym RODO (GDPR), pracodawcy przetwarzający dane osobowe pracowników mają obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych chroniących te dane przed nieuprawnionym dostępem. Atak deepfake, który prowadzi do wyłudzenia danych pracownika lub podszycia się pod niego przy składaniu wniosków kadrowych, może zostać zakwalifikowany jako naruszenie ochrony danych. W takiej sytuacji pracodawca jest zobowiązany do zgłoszenia incydentu do właściwego organu nadzorczego w ciągu 72 godzin od jego wykrycia.

Polscy pracodawcy działający na terenie Danii podlegają jednocześnie przepisom duńskim i polskim w zakresie prawa pracy. Warto pamiętać, że Państwowa Inspekcja Pracy (PIP) w Polsce oraz duński Arbejdstilsynet mogą prowadzić postępowania wyjaśniające dotyczące naruszeń, które miały miejsce w kontekście delegowania pracowników, w tym naruszeń wynikających z oszustw cyfrowych. Kwestia prawidłowej rejestracji czasu pracy nabiera dodatkowego wymiaru, gdy dokumenty mogą zostać sfałszowane przy użyciu AI.

Jak deepfake uderza w branżę budowlaną?

Sektor budowlany jest szczególnie narażony na tego rodzaju ataki z kilku powodów. Po pierwsze, łańcuchy podwykonawców są rozbudowane, a decyzje finansowe często podejmowane są szybko i pod presją czasu. Po drugie, część komunikacji odbywa się nieformalnie, przez telefon lub komunikatory, co utrudnia weryfikację tożsamości rozmówcy. Po trzecie, pracownicy fizyczni rzadziej przechodzą szkolenia z zakresu cyberbezpieczeństwa niż ich odpowiednicy w biurach.

Agencje rekrutacyjne i firmy pośredniczące w zatrudnieniu, które pomagają Polakom znaleźć pracę w Danii, również stają się celem ataków. Fałszywe oferty pracy oparte na sklonowanym wizerunku rzeczywistego pracodawcy lub menedżera HR to coraz częstszy scenariusz. Kandydaci przekazują swoje dane osobowe, numery kont bankowych do wypłaty wynagrodzenia lub kopie dokumentów tożsamości osobom, które nigdy nie zamierzały ich zatrudnić. O tym, jak rozróżniać wiarygodne oferty od fałszywych, piszemy szerzej w kontekście metod, jakimi agencje pracy przyciągają Polaków do Danii.

Perspektywa europejska: jak inne kraje sobie z tym radzą?

Niemcy wdrożyły dodatkowe krajowe wytyczne dla sektora finansowego dotyczące weryfikacji tożsamości w transakcjach zdalnych, kładąc nacisk na wielopoziomowe uwierzytelnianie. Holandia z kolei inwestuje w edukację cyfrową na poziomie małych i średnich przedsiębiorstw, finansując szkolenia z rozpoznawania treści syntetycznych. Dania, jako kraj o wysokim poziomie cyfryzacji administracji publicznej, promuje korzystanie z systemu MitID jako bezpiecznego sposobu potwierdzania tożsamości, jednak system ten nie eliminuje ryzyka deepfake w komunikacji wewnętrznej firm.

Komisja Europejska zapowiedziała dalsze prace nad egzekwowaniem AI Act, ze szczególnym uwzględnieniem obowiązku znakowania treści generowanych przez AI. Więcej informacji o aktualnych inicjatywach regulacyjnych można znaleźć na stronie Komisji Europejskiej.

Co możesz zrobić już teraz?

Ochrona przed deepfake wymaga połączenia procedur organizacyjnych z narzędziami technicznymi. Przede wszystkim warto wdrożyć zasadę weryfikacji dwukanałowej: każde polecenie finansowe lub kadrowe przekazane drogą elektroniczną powinno być potwierdzane osobnym kanałem, na przykład telefonem na znany numer. Firmy powinny też regularnie szkolić pracowników z rozpoznawania podejrzanych treści, a menedżerowie powinni znać procedury zgłaszania incydentów bezpieczeństwa zarówno do wewnętrznych działów IT, jak i do organów zewnętrznych.

Warto zadbać o aktualizację polityki bezpieczeństwa danych zgodnie z wymogami RODO i skonsultować się z prawnikiem specjalizującym się w prawie cyfrowym przed wdrożeniem nowych narzędzi komunikacji. Polscy pracodawcy mogą szukać wsparcia merytorycznego m.in. na stronach polskiego rządu, gdzie publikowane są aktualne wytyczne dotyczące cyberbezpieczeństwa dla przedsiębiorców. W przypadku podejrzenia, że doszło do ataku opartego na deepfake, należy niezwłocznie zabezpieczyć dowody, poinformować odpowiednie organy i skonsultować się z prawnikiem, zanim podjęte zostaną jakiekolwiek dalsze działania finansowe lub kadrowe. Czas reakcji ma tu kluczowe znaczenie.

Wróć do bloga