Podczas jednego Zwiadu w firmie fotowoltaicznej znaleźliśmy Make.com za kilka tysięcy złotych miesięcznie — zautomatyzował procesy, które my przepisaliśmy kodem za jednorazowe wdrożenie. Trzy licencje SharePoint, choć firma ma własny serwer. Osiem kont Google Workspace, z których nikt nie korzystał od miesięcy. Łącznie: kilkaset złotych miesięcznie w nikąd, i to tylko to, co udało się zobaczyć od razu.
To nie był wyjątek. To jest standard, który widzimy praktycznie w każdej firmie.
Shadow IT — oprogramowanie, konta i subskrypcje, o których firma oficjalnie nie wie albo nie pamięta — kosztuje polskie MŚP konkretne pieniądze. Nie w abstrakcyjnych „ryzykach bezpieczeństwa". W fakturach na firmowej karcie.
W tym artykule pokażę, jak je wykryć, jak je policzyć i co z tym zrobić. Bez straszenia. Z konkretnymi krokami.
Czym jest Shadow IT i dlaczego pojawia się w każdej firmie
Shadow IT to całe oprogramowanie, usługi chmurowe, konta i subskrypcje, które działają w Waszej firmie poza wiedzą lub kontrolą osoby odpowiedzialnej za IT. Nie zawsze złośliwie — często po prostu dlatego, że ktoś potrzebował narzędzia, znalazł je w Google i zarejestrował kontem firmowym.
Pracownik sprzedaży zakłada Dropboxa, żeby wysyłać duże pliki klientom. Ktoś z marketingu wykupuje Canvę Pro na firmową kartę. Programista instaluje narzędzie do monitoringu, które przestaje być potrzebne po projekcie — ale subskrypcja zostaje. Prezes prosi o dostęp do narzędzia AI, dostaje link, loguje się Google'iem firmowym.
Sześć miesięcy później nikt nie wie, co gdzie stoi.
Dlaczego to rośnie szybciej niż kiedykolwiek: narzędzia SaaS stały się tanie i łatwe w obsłudze. Rejestracja zajmuje minutę. Karta firmowa jest pod ręką. A dział IT — jeśli w ogóle istnieje — dowiaduje się o nowym narzędziu najczęściej przy okazji awarii albo odejścia pracownika, który był jedynym administratorem konta.
Ile to naprawdę kosztuje — liczby z terenu
Zanim powiem jak szukać Shadow IT, zatrzymajmy się przy tym co ważne dla Marka: ile to kosztuje.
Nie chodzi o ryzyko wycieku danych. Chodzi o pieniądze, które co miesiąc znikają z konta.
Nasz rekord to 3 000 zł miesięcznie za subskrypcje, z których firma nie korzystała. Nie awarie. Nie przestoje. Po prostu faktury, które przechodziły przez księgowość, bo nikt nie sprawdzał co dokładnie płaci firma za „IT".
W firmie fotowoltaicznej, o której pisałem na początku, zebraliśmy tylko oczywiste pozycje:
| Co znaleźliśmy | Stan | Miesięcznie |
|---|---|---|
| Make.com (automatyzacja) | Aktywny, zastąpiony kodem | kilka tys. zł |
| SharePoint × 3 licencje | Aktywne, firma ma własny serwer | ~300–600 zł |
| Google Workspace × 8 kont | Nieużywane od miesięcy | ~800–1 200 zł |
| Razem oczywiste pozycje | — | kilka tys. zł/mies. |
To był jeden Zwiad. Jedna firma. Jeden przegląd kart kredytowych i subskrypcji.
Druga obserwacja z terenu: dostaliśmy listę problemów do rozwiązania. Podczas prac modernizacyjnych znaleźliśmy dwa razy więcej problemów niż było na liście — problemy, o których firma nie wiedziała, bo nikt ich nie szukał. Shadow IT działa podobnie: to, co widać od razu, to zwykle mniej niż połowa tego, co realnie istnieje.
Dlaczego AI Wam w tym nie pomoże (a przynajmniej nie tak jak myślicie)
W ostatnich miesiącach widzę w rozmowach z klientami nowy wzorzec. Firma pytacie ChatGPT albo inny model AI co zrobić z IT, dostajecie odpowiedź, i traktujecie ją jak audyt.
To nie jest audyt. To jest odpowiedź na pytanie bez dostępu do Waszej firmy.
Model AI nie wie, że macie trzy licencje SharePoint i własny serwer. Nie wie, że ktoś rok temu założył konto na Zapierze i wyjechał na emeryturę. Nie widzi Waszych faktur. Odpowiada na pytanie ogólne ogólną odpowiedzią — i brzmi przekonująco, bo ma dostęp do całej wiedzy o Shadow IT jako zjawisku, tylko nie o Shadow IT w Waszej konkretnej firmie.
To jest precyzyjne odwrócenie tego, co jest potrzebne.
Nie mówię, że AI jest bezużyteczne. Mówię, że „AI powiedział, że mamy zrobić X" to nie jest podstawa do decyzji o infrastrukturze firmy. Mamy klientów, którzy na tej podstawie odkładali inwestycje, bo „AI doradził inaczej". Kiedy przyjechaliśmy i sprawdziliśmy — rzeczywistość wyglądała zupełnie inaczej niż w odpowiedzi modelu.
Termin na wizytę zajmuje kilka dni. Zdalny audyt AI — kilka minut. Tylko jeden z tych dwóch wariantów patrzy na Waszą sieć.
Szybki punkt startowy bez wizyty: test IT online na dchouse.pl/sprawdz.
Jak wykryć Shadow IT w firmie 20–200 osób — metoda krok po kroku
Nie potrzebujecie drogiego narzędzia. Potrzebujecie kogoś, kto ma dostęp do trzech miejsc i wie czego szukać.
Krok 1: przejrzyjcie faktury i wyciągi firmowe (30–60 minut)
To najszybsza i często najbardziej zaskakująca metoda. Weźcie wyciąg z karty firmowej z ostatnich 3 miesięcy i przejrzyjcie każdą pozycję, która brzmi jak usługa cyfrowa.
Szukajcie:
- nazw, których nikt w firmie nie rozpoznaje
- subskrypcji na okrągłe kwoty (9,99 USD, 29 USD, 49 EUR — to często SaaS)
- opłat w walutach obcych — większość polskich firm nie kupuje software lokalnie
- powtarzających się małych kwot, na które nikt nie zwraca uwagi
Dobrą praktyką jest zebranie tej listy i pokazanie jej po jednej osobie z każdego działu: „Czy wiesz, co to jest i czy nadal używasz?" Odpowiedź „nie wiem" przy pozycji, którą firma płaci od roku, jest standardem, nie wyjątkiem.
Krok 2: sprawdźcie konta Google / Microsoft / Apple
To jest rejestr tego, co ktoś założył na firmowy adres email. Wejdźcie do panelu Google Workspace lub Microsoft 365 i sprawdźcie:
- ile kont jest aktywnych
- kiedy ostatnio się logowały
- czy są konta osób, które odeszły z firmy
Osiem nieaktywnych kont Google Workspace po ~15 USD/miesiąc każde to 120 USD miesięcznie, czyli ok. 500 zł, które co miesiąc idą na konta, do których nikt się nie loguje. Przy dużej rotacji pracowników ten problem rośnie sam z siebie.
Krok 3: zapytajcie każdy dział o narzędzia
Proste pytanie: „Jakiego oprogramowania używacie do pracy?" Zadajcie je każdemu działowi osobno — sprzedaż, magazyn, produkcja, biuro, IT jeśli jest.
Lista, którą dostaniecie od każdego działu, bardzo rzadko pokrywa się z listą w rejestrze IT. Różnica między tymi dwiema listami to Wasz Shadow IT.
Krok 4: przejrzyjcie sieć pod kątem połączeń z zewnętrznymi serwisami
To wymaga już kogoś z techniczną wiedzą — ale jeśli macie firewall z logami, można zobaczyć, z jakimi zewnętrznymi adresami komunikuje się Wasza sieć. Połączenia do Dropboxa, Box.com, Slacka, Notion, Asany — jeśli nie są wdrożone firmowo, to indywidualne inicjatywy pracowników.
Więcej o audycie sieci i infrastruktury: infrastruktura IT dla MŚP.
Co zrobić po wykryciu — trzy scenariusze
Nie każde Shadow IT trzeba od razu wyłączyć. Trzeba je ocenić.
Scenariusz 1: narzędzie jest używane i potrzebne
Zinwentaryzujcie je i wprowadźcie pod kontrolę IT. To znaczy: centralne konto firmowe zamiast prywatnych, udokumentowane uprawnienia, kontrola dostępu. Narzędzie pozostaje — chaos zostaje wyeliminowany.
Scenariusz 2: narzędzie jest używane, ale jest tańsza alternatywa
Tak jak Make.com w firmie fotowoltaicznej — platforma no-code z abonamentem operacyjnym, zastąpiona kodem na serwerze klienta. Zapłaciliście raz za wdrożenie, płacicie ~50 zł miesięcznie za hosting zamiast kilku tysięcy za subskrypcję. Przy porównywaniu liczy się całkowity koszt: wdrożenie + utrzymanie przez 12 miesięcy. Porównanie Make.com vs kod: automatyzacja procesów.
Scenariusz 3: narzędzie nie jest używane
Anulujcie subskrypcję. Upewnijcie się, że dane są usunięte lub wyeksportowane. Tyle.
Najczęstsze Shadow IT w polskich firmach MŚP w 2026
Na podstawie Zwiadów w różnych branżach — poniżej co pojawia się najczęściej:
| Kategoria | Narzędzia | Typowy koszt/mies. |
|---|---|---|
| Automatyzacja no-code | Make.com, Zapier, n8n cloud | 100–5 000 zł |
| Przechowywanie plików | Dropbox, Google Drive prywatny, WeTransfer Pro | 50–500 zł |
| Komunikacja | Slack, Discord, WhatsApp Business | 50–300 zł |
| Zarządzanie projektami | Trello, Asana, Notion, Monday | 50–400 zł |
| Podpis elektroniczny | DocuSign, Adobe Sign, prywatne konta | 50–300 zł |
| Narzędzia AI | ChatGPT Plus, Midjourney, Copilot prywatny | 100–500 zł |
| Licencje oprogramowania | Adobe CC prywatne, Office prywatne | 50–200 zł |
Łączny koszt w typowej firmie 30–80 osób bez kontroli nad subskrypcjami: 500–5 000 zł miesięcznie na narzędzia, których część albo nie jest używana, albo jest dublowana przez licencje firmowe.
Kiedy Shadow IT staje się ryzykiem bezpieczeństwa
Kosztuje to jedno. Ale jest też drugi aspekt, o którym warto wiedzieć: co się dzieje z danymi.
Pracownik wysyła oferty do klientów przez prywatny Dropbox. Odchodzi. Dropbox zostaje jego. Dane klientów są teraz poza firmą, bez możliwości usunięcia, bez Waszej kontroli.
To nie jest scenariusz z filmów o hakerach. To jest sytuacja, którą można odtworzyć w kilku minutach w każdej firmie, w której nie ma polityki zarządzania danymi.
Z perspektywy RODO: jeśli dane osobowe klientów lub pracowników są przetwarzane w usłudze, o której firma nie wie, firma nadal ponosi odpowiedzialność. Nieświadomość nie jest tutaj ochroną prawną.
FAQ — pytania które dostajemy najczęściej
Jak szybko można przeprowadzić inwentaryzację Shadow IT w firmie 50 osób?
Podstawową inwentaryzację — przegląd faktur, kont Google/Microsoft i ankieta od działów — da się przeprowadzić w 2–3 dni robocze. Pełny Zwiad, który obejmuje również sieć, urządzenia i uprawnienia, trwa 3–5 dni. Wynikiem jest lista z priorytetami: co wyłączyć, co zinwentaryzować, co zastąpić.
Czy muszę poinformować pracowników o inwentaryzacji Shadow IT?
Tak, i warto to zrobić transparentnie. Cel to nie „przyłapanie" kogokolwiek — to obniżenie kosztów i porządek w systemach. Większość pracowników używa nieautoryzowanych narzędzi dlatego, że oficjalne narzędzia firmowe są niewystarczające lub nieznane. Informacja o inwentaryzacji często ujawnia też luki w firmowym zestawie narzędzi.
Ile kosztuje likwidacja Shadow IT?
Sama inwentaryzacja i decyzja o wyłączeniu: koszt czasu (kilka dni pracy własnej lub zewnętrznej). Ewentualne wdrożenie zamienników lub migracja danych: zależy od skali. W firmie 50 osób najczęściej mieścimy się w budżecie jednorazowego Zwiadu — kilka tysięcy złotych, po których firma wie co ma, co płaci i co wyłączyć.
Czy AI może zastąpić audyt Shadow IT?
Narzędzia AI mogą pomóc przy analizie logów sieciowych lub kategoryzacji subskrypcji. Nie mogą przeprowadzić audytu, bo nie mają dostępu do Waszej sieci, kont i faktur. Odpowiedź AI na pytanie „czy mamy Shadow IT" jest odpowiedzią ogólną — nie dla Waszej firmy. Różnica jest zasadnicza.
Co z pracownikiem, który założył konto na własny koszt dla dobra firmy?
To częsta sytuacja. Rozwiązanie standardowe: firma przejmuje konto i dane, pracownik dostaje zwrot lub dostęp do firmowego odpowiednika narzędzia. Kluczowe jest zabezpieczenie danych przed odejściem pracownika — nie ocena jego intencji.
Jak zapobiec powstawaniu Shadow IT w przyszłości?
Trzy rzeczy działają: jasna polityka zakupu oprogramowania (kto zatwierdza, jakie kanały), prosty sposób na zgłoszenie potrzeby nowego narzędzia (żeby pracownicy nie omijali IT z frustracji) i regularne przeglądy subskrypcji — raz na kwartał, godzina pracy. Więcej o tym podczas Zwiadu.
Jakie branże mają największy problem z Shadow IT?
Z naszego doświadczenia: fotowoltaika, handel e-commerce, firmy usługowe z dużą rotacją pracowników i produkcja, gdzie IT jest najczęściej zarządzane przez kogoś, kto przejął to zadanie przypadkowo. Wspólny mianownik: szybki wzrost firmy bez równoległego wzrostu zarządzania IT.
Podsumowanie — trzy zdania dla Marka
Shadow IT w Waszej firmie prawdopodobnie istnieje. Kosztuje kilkaset do kilku tysięcy złotych miesięcznie. Wykrycie zajmuje kilka dni, likwidacja — tygodnie.
Jeśli chcecie wiedzieć ile dokładnie płacicie za coś, czego nie używacie — zacznijcie od przeglądu wyciągów. Albo od Zwiadu, który zrobi to dla Was kompleksowo i pokaże co dalej.
Artur Jaźwiec — współzałożyciel DC House, 15 lat w IT (Credit Suisse, HP, IBM). Przeprowadza Zwiady osobiście. LinkedIn
DC House — infrastruktura IT, automatyzacja, CRM/ERP dla firm 20–200 osób. Dolny Śląsk i cała Polska.
→ Umów Zwiad: dchouse.pl/konsultacje
→ Szybki test IT online: dchouse.pl/sprawdz