Cererea globală pentru soluții de inteligență artificială a explodat, cum indică Raportul AI pentru B2B preluat în presa românească centrală și IT/Tech.
Pentru un CTO sau Director de achiziții, miza în 2026 nu este doar tehnologică, ci legală. Odată cu intrarea în vigoare a Directivei NIS2 ➛, companiile sunt direct responsabile pentru securitatea lanțului lor de aprovizionare (en. Supply Chain Security).
Dacă contractați un furnizor de AI care nu respectă standardele de securitate și protecția datelor personale, vulnerabilitatea lor devine vulnerabilitatea dumneavoastră. În calitate de partener acreditat ROTLD și Google Cloud în România, acest ghid oferă câțiva pași esențiali de Due Diligence.
Due Diligence comercial: validarea entității
Un vector de atac în creștere, identificat în rapoartele Palo Alto Networks (Unit 42), este utilizarea domeniilor „lookalike" (Typosquatting sau Combosquatting). Vezi sursa ➛. Actori terți înregistrează domenii care conțin numele unor branduri cunoscute sau termeni generici, adăugând sufixe precum .ai, tech sau soft.
De ce este un risc pentru companie?
- Phishing: angajații pot confunda entitatea clonă cu furnizorul real, trimițând date sensibile.
- Conformitate: NIS2 impune verificarea bonității partenerilor.
Cum verifici?
Ca partener acreditat ROTLD ➛, OPTI Software ajută la menținerea integrității Internetului.
1. Verificare deținător (tehnic: WHOIS:)
Pentru domeniile.ro: Verificați deținătorul domeniului pe rotld.ro/whois ➛.
Pentru domeniile .ai / .com: Verificați pe ICANN Lookup ➛. Deși datele deținătorului sunt adesea ascunse, recomandăm verificarea proprietății domeniului pentru a evita riscul de discontinuitate a serviciului.
2. Verificare legalitate:
În România, site-urile de prestare servicii sunt obligate să afișeze în footer: Denumirea Firmei, CUI-ul și adresa.
3. Verificare fiscală:
Verificați dacă furnizorul are istoric financiar și coduri CAEN relevante pentru IT/AI (6201, 6202) pe portalurile de informații bilanțuri
În B2B, partenerul tehnologic trebuie să își afișeze identitatea. Dacă domeniul este înregistrat anonim, există risc de conformitate.
Studiu de caz 2026: Atacul ClawHub
De ce contează Supply chain security în era AI? În februarie 2026, cercetătorii au descoperit o breșă masivă în ClawHub, marketplace-ul oficial pentru agenți OpenClaw.
Cel mai descărcat skill, un aparent inofensiv „Twitter writer bot", ascundea un vector de atac ingenios. Pentru a funcționa, agentul AI îi cerea utilizatorului să instaleze o dependență numită „openclaw-core". Această dependență nu exista oficial. Link-ul furnizat de AI ducea către un fișier dăunător care la rulare fura chei SSH și portofele de criptomonede. Agentul AI a devenit, involuntar, complicele atacatorilor. Detalii aici ➛.
Securitatea datelor și certificările
Inteligența artificială lucrează peste date informatice. Despre companie, despre proiectele ei, despre angajații și clienții ei.
În plus, aproape orice proiect AI ajunge rapid la:
- Conectare la CRM sau site: pentru datele clienților companiei și comunicațiile cu ei
- Conectare la ERP: pentru produse, prețuri și flux comercial
- Acces la documentele și bazele de date ale companiei: pentru knowledge base
- Integrare cu serviciul email, conturile de service și suport: pentru automatizări ➛
Dacă dați AI acces la tot supply chain-ul de date, dați temporar și implementatorului acest acces. Este important unde stau datele companiei, cine controlează accesul și dacă îl puteți revoca.
Asigurați-vă că pentru orice acces dețineți informații despre condițiile accesului, dreptul de revocare și baza contractuală și legală. Este esențial sub GDPR, NIS2 și standardul ISO 27001.
A implementat site-ul de prezentare headere de securitate?
Aceasta este o verificare simplă pe care o puteți face la https://securityheaders.com. Implementarea înseamnă o minimă protecție pentru siguranța Internetului.
Dacă activați într-un domeniu reglementat de Directiva NIS2 privind securitatea cibernetică, aveți explicit obligația de a verifica furnizorii, urmând să se poată atrage responsabilitatea personală a managementului.
Certificările pe scurt:
ISO 9001 înseamnă că, anual, compania este verificată pentru deținerea unui sistem de management al calității. Ex: colectează feedback de la clienți pentru fiecare proiect.
ISO 27001 înseamnă că, anual, compania este verificată pentru deținerea unui sistem de gestionare a securității informației. Ex: știe ce persoane au acces exact la care date.
ISO 42001 este primul standard global specific pentru AI Management Systems (AIMS). Certifică existența procedurilor de risc, etică și control uman asupra algoritmilor.
Verificați și reputația și vechimea pe piață a organismului de certificare.
Checklist securitate lanț de aprovizionare IT
Pentru a proteja compania, puteți imprima acest checklist rapid:
| Auditul | Dovezi | Riscul |
|---|---|---|
| Identitate | ||
| Cine este entitatea juridică din contract? | CUI, Adresă, Date WHOIS transparente pentru domenii. | Nu poți da în judecată un site web sau o persoană fizică anonimă. |
| Date (training AI) | ||
| Sunt datele mele folosite pentru antrenare? | Clauză contractuală explicită: „No training on customer data". | Riscul de a pierde secrete comerciale către modele publice. |
| Date (transfer) | ||
| Cum se transferă datele companiei? | Clauză contractuală explicită: „Only transfer encrypted". | Riscul de a pierde date și secrete comerciale în piață. |
| Date (locație) | ||
| Unde stau datele companiei? | Clauză contractuală explicită: Regiuni acceptate (UE / non-UE) de date și garanții GDPR. | Conformitate GDPR și suveranitatea datelor. |
| Proprietate | ||
| Cine deține codul și conturile? Ce se întâmplă la reziliere? | Acces administrativ, contract explicit de drepturi. | Vendor lock-in (dependența de vendor). |
| Securitate | ||
| Cum dovediți securitatea datelor? | Certificare ISO 27001, ISO 42001, Raport auditare. | Obligație NIS2 pentru lanțul de aprovizionare. |
| Continuitate | ||
| Ce se întâmplă dacă serverele / infrastructura pică? | Plan de disaster recovery și backup. | Continuitatea afacerii este critică în operațiuni. |
| Angajați și subcontractori | ||
| Ce garanții există pentru cei care lucrează pentru furnizor? | Impunerea acelorași obligații către angajați și subcontractori, eventual nominalizare explicită. | Obligație NIS2 pentru lanțul de aprovizionare. |
Competența tehnică
Dacă ați eliminat riscurile legale, asigurați-vă că partenerul are competența tehnică necesară. Am detaliat criteriile de performanță în două materiale recente:
Ghid: cum alegi un partener din ecosistemul Google Cloud pentru AI ➛
Alegeți între parteneri în funcție de necesitățile de guvernanță, durata proiectului și agilitate dorită.
Ghidul 1 AI: Recomandări, upsell și reguli ➛
Niciun model AI nu va compensa datele de slabă calitate din sistemele proprii, alegeți un implementator care poate curăța și lucra cu datele existente.
Principalele verificări aici țin de experiență (studii de caz și clienți mulțumiți) și de expertiză (certificări individuale).
Concluzie: inovați în siguranță
Adopția AI este inevitabilă, dar nu trebuie să fie haotică. Diferența dintre succes în implementare și breșă de securitate este atât de mare încât poate fi prevenită, prin verificări prealabile minime ca cele de mai sus.
La OPTI Software, ne bazăm arhitectura software pe standarde și certificări: Google Cloud Partner, HubSpot Partner, ISO 9001, ISO 27001, ISO 42001 - în curs.
Înscrie-te pentru Ghidul #6 de securitate și protecția secretelor pentru a vedea cum arată o arhitectură de date conformă.
![[UPDATE] Premiile startup-urilor românești se decernează pe 12 martie. Mr.Benny a câștigat locul 3 la categoria cybersecurity la Romania Startup Awards 2026](/images/new-post/small_long-romania-startup-awards-2026-mrbenny.jpg "[UPDATE] Premiile startup-urilor românești se decernează pe 12 martie. Mr.Benny a câștigat locul 3 la categoria cybersecurity la Romania Startup Awards 2026")