Tikající bomba pro české vývojářské firmy? Software bude muset mít „povinnou STK“

Nástroje jako GitHub Copilot, Codex nebo Claude Code přinesly do IT sektoru nevídanou produktivitu. Vývojáři hlásí zrychlení práce o desítky procent.

Pro ředitele a investory to zní jako rajská hudba. Rychlejší vývoj, levnější funkce, dřívější uvedení na trh.

Odvrácená strana benefitů

Jenže tento digitální spěch má svou odvrácenou tvář. Přestáváme mít přehled o tom, odkud kód pochází a co v něm všechno je.

Umělá inteligence (AI) generuje kód, který je snadno zneužitelný hackerem nebo přebírá cizí kód bez toho, aby řešila jeho přísné licenční podmínky. Umělá inteligence tyto licence maže a tváří se, jako by kód byl jen její výmysl.

Ve stejné chvíli se však díky AI dostáváme do éry, kde kontrolovat porušení licencí bude stejně snadné, jako generovat samotný kód.

Otrávený software

Umělá inteligence v některých případech generuje téměř totožný kód, na kterém trénovala. K tréninku však používala i kód pod tzv. virálními licencemi.

Ty jsou postrachem každého právníka při prodeji softwaru. Mohou totiž nakazit váš software, což v konečném důsledku může vést i k povinnosti zveřejnit váš kód a odhalit vaše know-how.

Konec divokého vývojářského západu

Divoký západ s licencemi a kyberbezpečností už dnes netolerují investoři ani kupující při akvizicích společnosti. Nově jej nebude tolerovat ani Evropská unie (EU).

Připravte se na rok 2027, kdy software uváděný na jednotný evropský trh bude muset mít rodný list (soupis komponent, ze kterých se skládá) podle nového Aktu o kybernetické odolnosti (CRA).

V praxi se tomuto soupisu komponent je obdobou tzv. SBOM (Software Bill of Materials) a je to pojem, na který narazíte na obou stranách Atlantiku.

Představte si to jako povinné složení na obalu potravin. Budete muset přesně deklarovat, z jakých komponent se váš software skládá, odkud pocházejí a zda jsou bezpečné.

Bez tohoto dokumentu nezískáte označení CE (viz box vpravo). A bez CE značky svůj software na jednotném evropském trhu neprodáte. Tečka.

Softwarová STK

Zde se kruh uzavírá. Pokud dnes dovolíte svým vývojářům používat AI bez pravidel, kontroly a auditních nástrojů, budujete produkt, který za dva roky neprojde touto „technickou STK“.

Budete mít software plný licenčních min, které v rámci auditu okamžitě vyskočí jako červené vykřičníky. Co to znamená pro české firmy? Především konec výmluv.

Odpovědnost se přesouvá z IT oddělení přímo do zasedaček představenstva. Statutární orgány musí pochopit, že kybernetická bezpečnost a licenční čistota kódu přestaly být technickým detailem. Staly se podmínkou pro vstup na trh.

Neznalost neomlouvá. Motivací mají být pokuty ve výši až 15 milionů eur (cca 367 mil. Kč) nebo 2,5 procenta celosvětového obratu (podle toho, co je vyšší).

Od vývojáře k auditorovi AI

Snadné řešení tohoto problému? Bohužel není. Nová regulace (CRA) sice nedopadne na čistě cloudová SaaS řešení a nekomerční open source, ale pro velkou část českých  softwarových firem únik z dosahu regulace nebude.

Zakázat AI nástroje už také nemůžete. Snadno byste přišli o konkurenceschopnost a brzy to může být i ekonomická sebevražda. Řešením může být jen změna přístupu.

Z programátorů se musí stát nejen architekti kódu, ale také auditoři AI. Z psaní kódu se stává dozorování architektury, která na konci dne nesmí spadnout nikomu na hlavu.

Připravte se na nová pravidla ve smlouvách, dodatky o používání AI, a především na všudypřítomné přenášení odpovědnosti a závazky odškodnění.

Rozhodně však není rozumné čekat na rok 2027. Některé povinnosti z Aktu o kybernetické odolnosti (CRA) začnou platit již v polovině letošního roku, ale především technický dluh se v kódu šíří jako nemoc a s příchodem AI nabral rychlost epidemie. Zpětně se dost dobře léčit nedá.

Pokud nechcete mít produkt, který není komu prodat, začněte pravidla pro používání AI a psaní kódu řešit hned. Obzvláště, když už letos nás čekají nová pravidla odpovědnosti firem za vady softwaru i AI.