Microsoft ogłosił sukces w obszarze bezpieczeństwa sztucznej inteligencji. Flagowy asystent AI firmy, Microsoft 365 Copilot, pomyślnie przeszedł zewnętrzny audyt recertyfikacyjny i ponownie uzyskał prestiżowy certyfikat ISO/IEC 42001:2023. Kontrola przeprowadzona przez niezależnego audytora zakończyła się doskonałym rezultatem - nie wykazano żadnych niezgodności ani obszarów wymagających poprawy.
Copilot z prestiżowym certyfikatem bezpieczeństwa
Copilot w Microsoft 365, zintegrowany z popularnymi usługami takimi jak Word, Excel, PowerPoint czy Teams, jest masowo wykorzystywany w firmach i szkołach, co przekłada się na bazę ponad 15 milionów opłaconych licencji. Narzędzie to zyskało status jednego z pierwszych systemów AI na świecie z certyfikatem ISO 42001 już w marcu 2025 r. Zgodnie z wymogami corocznej weryfikacji audyt z marca 2026 r. (poprzedzony udanym audytem wewnętrznym pod koniec 2025 r.) potwierdził najwyższe standardy zarządzania sztuczną inteligencją w obszarach zarządzania ryzykiem, transparentności, ochrony danych oraz nadzoru ludzkiego.
Obecnie portfolio oprogramowania Microsoftu posiadającego ten certyfikat urosło do 8 rozwiązań, obejmując również GitHub Copilot, Microsoft Copilot Studio, Microsoft Dragon Copilot, Microsoft Dragon Copilot (Radiologists), Microsoft Copilot Health, Microsoft Foundry oraz Security Copilot. Ponadto firma uzyskała certyfikat CSA STAR for AI Level 2.
Co się zmieniło w ciągu roku?
Gigant z Redmond podkreśla, że recertyfikacja nie oznaczała jedynie utrzymania dotychczasowego stanu. System zarządzania sztuczną inteligencją ewoluował wraz z samą technologią. Przez ostatni rok trochę się tu pozmieniało.
Najbardziej widoczną zmianą było znaczące rozszerzenie portfolio modeli przy jednoczesnym przeskalowaniu struktur nadzorczych. O ile podczas pierwszej certyfikacji w 2025 r. Microsoft 365 Copilot bazował głównie na jednej rodzinie modeli z Azure OpenAI, o tyle rok później ten sam system zarządza już infrastrukturą wielomodelową i wielodostawczą. Standardowym rozwiązaniem stał się model GPT-5 i jego kolejne wersje, a jako opcję dodatkową wprowadzono modele Claude od firmy Anthropic. Przed integracją zewnętrzni dostawcy przechodzą rygorystyczny proces weryfikacji bezpieczeństwa i prywatności dostawców Microsoftu, a klienci korporacyjni otrzymali pełną kontrolę administracyjną, umożliwiającą włączanie lub wyłączanie modeli firm trzecich bez konieczności przebudowywania całego systemu zarządzania.
Dojrzały także metody badania ryzyka związanego z AI. Przebieg oceny uproszczono poprzez konsolidację etapów kontrolnych, co pozwoliło wyeliminować powtarzające się zadania bez rezygnacji z dotychczasowego rygoru. Przed rynkową premierą systemów działa specjalne narzędzie do wykrywania potencjalnych szkód. Całość uzupełnia kaskadowy model weryfikacji ryzyka, dzięki któremu kluczowe decyzje nadzorcze i zaangażowanie dyrekcji są ściśle dopasowane do projektów AI o najwyższym stopniu wpływu.
Wzmocnienie mechanizmów kontrolnych przełożyło się bezpośrednio na podniesienie jakości samego produktu. W ciągu roku Microsoft odnotował istotny wzrost satysfakcji użytkowników Copilota, co stanowi dowód na to, że ład korporacyjny i wysoka jakość wzajemnie się napędzają. Wbudowanie praktyk odpowiedzialnego rozwoju AI w procesy inżynieryjne zaowocowało stworzeniem oprogramowania, które jest nie tylko bezpieczniejsze, ale po prostu lepsze użytkownika końcowego.
Ostatnią kluczową zmianą było formalne rozszerzenie zakresu samego systemu zarządzania sztuczną inteligencją (AIMS). Do dotychczasowych struktur włączono platformę Microsoft Copilot Studio, dzięki czemu liczba systemów objętych jednym, certyfikowanym ramowym programem nadzoru zwiększyła się z dwóch do trzech.
Microsoft wykorzystuje AI do nadzorowania AI
Jednym z najbardziej unikalnych elementów strategii Microsoftu jest podejście określane jako "wykorzystanie AI do nadzorowania AI". W ciągu ostatniego roku firma wdrożyła wewnętrzne agenty sztucznej inteligencji, aby skutecznie rozwijać i skalować mechanizmy odpowiedzialnego zarządzania. Te zaawansowane narzędzia "wspomagają zespoły inżynieryjne w prowadzeniu ocen RAI i usprawnianiu procesów przeglądu projektów, nie zastępując przy tym osądu ludzkiego" - wyjaśnia Oliver Bell, M365 GRC, Privacy & Regulatory Compliance w Microsfot.
Dzięki temu podejściu powstała zamknięta pętla ciągłego doskonalenia, w której te same technologie, które Microsoft tworzy dla swoich klientów, służą do wzmacniania wewnętrznych systemów kontroli. W praktyce wygląda to tak, że "agenty AI pomagają w tworzeniu wersji roboczych ocen, a eksperci merytoryczni oceniają je, weryfikują i zatwierdzają". Kluczową zasadą pozostaje to, że "ludzie pozostają w centrum decyzyjnym, ale AI pomaga nam skalować te procesy" - dodaje Bell.
Obecnie zespoły produktowe w całej strukturze Copilota regularnie wykorzystują narzędzia AI w swoich procesach związanych z odpowiedzialnym rozwojem technologii. Co więcej, Microsoft kładzie ogromny nacisk na kompetencje kadry zarządzającej, wprowadzając obowiązkowe, rygorystycznie egzekwowane szkolenia z zakresu Responsible AI dla liderów odpowiedzialnych za ład technologiczny. Firma zapewnia, że to właśnie jest prawdziwe oblicze ciągłego doskonalenia w praktyce - system zarządzania sztuczną inteligencją nie jest jedynie biernie utrzymywany, lecz realnie usprawniany za pomocą tej samej technologii, którą ma kontrolować.
Co dalej z bezpieczeństwem Copilota?
Krajobraz sztucznej inteligencji ulega nieustannym zmianom, a przed twórcami technologii stoją kolejne wyzwania regulacyjne, w tym nadchodzące egzekwowanie przepisów unijnego Aktu o sztucznej inteligencji (EU AI Act) od sierpnia 2026 r.
Microsoft deklaruje, że uzyskanie certyfikatu nie jest celem ostatecznym, lecz stałym procesem. W miarę jak Microsoft 365 Copilot będzie wzbogacany o nowe możliwości agentowe oraz kolejne modele, ramy zarządzania i bezpieczeństwa będą rozwijane i skalowane w adekwatny sposób, aby stale odpowiadać na rynkowe standardy i odnawiać zaufanie użytkowników w kolejnych latach.
