Deepfake na rozmowie i CV z AI: playbook anty‑fraud HR

W 2026 roku rekrutacja jest jednocześnie bardziej „technologiczna” i bardziej wrażliwa niż kiedykolwiek: ATS-y, wideorozmowy, automatyzacje i elementy AI stają się standardem (por. Devire — Raport trendów 2026 oraz Wyzwania HR / Pracuj.pl — Trendy HR 2026). W tym samym czasie rośnie ryzyko, że po drugiej stronie procesu nie ma tej osoby, za którą się podaje — albo że jej kompetencje są „podkręcone” generatywnie. To nie jest problem tylko globalnych korporacji. Polskie media branżowe wprost opisują zjawiska takie jak fałszywe CV, deepfake na rozmowie i syntetyczne tożsamości jako realne wyzwanie dla firm (Infor).

Ten artykuł to playbook: jak rozpoznać ryzykowne sygnały, jak uruchamiać weryfikację kandydata „na żądanie” (risk-based), jak projektować zadania odporne na AI cheating oraz jak komunikować kontrolę tak, by nie zabić candidate experience — szczególnie wtedy, gdy i tak procesy potrafią się wydłużać (średnio do ok. 22 dni do oferty w danych cytowanych przez HRstandard / eRecruiter).

Fraud w rekrutacji: skąd się bierze i co ryzykuje firma

„Fraud recruiting” to parasol na kilka zjawisk: od CV generowanych przez AI i podszywania się pod cudze doświadczenie, przez podstawioną osobę na rozmowie, po syntetyczne tożsamości (mix prawdziwych i fałszywych danych) oraz deepfake wideo/audio. W praktyce te techniki łączą się w scenariusze, które mają jeden cel: przejść przez selekcję i dostać dostęp do pieniędzy, danych lub infrastruktury — albo po prostu „wygrać” ofertę mimo braku kompetencji. W polskim kontekście problem jest na tyle zauważalny, że pojawia się wprost w ostrzeżeniach dla firm i HR (Infor).

Dlaczego akurat teraz? Po pierwsze, narzędzia generatywne obniżyły koszt produkcji wiarygodnych treści: CV, listów motywacyjnych, case studies, a nawet „życiorysów” pod konkretną ofertę. Po drugie, rekrutacja coraz częściej odbywa się zdalnie i asynchronicznie (screening przez ATS, rozmowy wideo), co tworzy przestrzeń na manipulacje. Raporty trendów pokazują, że technologia jest „nową normą” w HR i TA, a to oznacza więcej punktów styku, w których można próbować oszukać proces (Devire, Wyzwania HR / Pracuj.pl).

Po trzecie, rynek przesuwa się w stronę selektywności i dowodów kompetencji. Skoro 2026 ma być „rokiem kompetencji, nie masowych rekrutacji” (pulsHR.pl), rośnie presja na kandydatów, by „dowieźć” wąskie, poszukiwane umiejętności. To sprzyja zarówno uczciwemu przygotowaniu, jak i pokusie skrótów.

Co realnie ryzykujesz jako firma?

• Ryzyko biznesowe: zatrudnienie osoby, która nie dowozi, eskaluje koszty (czas zespołu, opóźnienia, rework) i psuje morale.
• Ryzyko bezpieczeństwa: dostęp do systemów, danych klientów, repozytoriów kodu, narzędzi finansowych. Nawet „krótka” współpraca może zostawić trwałe szkody.
• Ryzyko prawne i compliance: jeśli używasz narzędzi AI w rekrutacji, wchodzisz w obszar rosnących obowiązków informacyjnych i nadzorczych. Materiały o AI Act w HR podkreślają m.in. wagę nadzoru człowieka, transparentności i procedur przy systemach wysokiego ryzyka (Legalden, Carpatia Biznes).
• Ryzyko reputacyjne: jeśli kandydaci poczują się traktowani podejrzliwie, candidate experience spada. A gdy procesy są długie, każdy dodatkowy „tarciowy” krok boli bardziej (kontekst czasu do oferty: HRstandard / eRecruiter).

Najważniejsza zasada: anty-fraud nie może być osobnym „projektem bezpieczeństwa”, oderwanym od rekrutacji. To ma być część procesu: jasne progi ryzyka, lekkie kontrole, dobra komunikacja i szybka eskalacja tylko wtedy, gdy jest ku temu powód.

Mapa ryzyk w procesie rekrutacji: od CV po onboarding

Żeby zbudować sensowną ochronę, trzeba przestać myśleć „czy ktoś kłamie w CV?” i zacząć myśleć procesowo: gdzie i jak można oszukać, co to daje oszustowi i jak to wykryć najniższym kosztem (czasowym i wizerunkowym). Poniżej mapa etapów i typowych wektorów.

Fałszywe CV z AI: typowe wzorce i gdzie najłatwiej o błąd

Fałszywe CV AI nie zawsze oznacza „wymyślone doświadczenie”. Częściej to miks: realne fakty + dopisane projekty + język dopasowany do ogłoszenia tak dobrze, że aż „zbyt gładko”. W praktyce ryzyko rośnie tam, gdzie:

• rola jest popularna i łatwo skopiować słowa-klucze,
• weryfikacja portfolio jest pobieżna,
• proces ma dużo etapów „opowiadania”, a mało etapów „pokazania”.

To zjawisko jest wymieniane jako jeden z kluczowych elementów rosnącego ryzyka oszustw w rekrutacji (Infor). Warto dodać rozróżnienie: użycie AI do redakcji CV (język, struktura) może być uczciwe, jeśli treść jest prawdziwa. Problemem jest generowanie nieprawdziwych faktów i „dowodów”.

Screening (telefon / wideo): podszywanie się i „przepychacz” kompetencji

Na screeningu oszust może:

• wystawić inną osobę do rozmowy (bardziej komunikatywną, techniczną),
• korzystać z podpowiedzi na żywo (druga osoba w tle, drugi ekran),
• używać narzędzi do „ulepszania” wypowiedzi.

To etap, gdzie rekruterzy często skupiają się na płynności i spójności narracji. A płynność jest dziś łatwa do wyprodukowania.

Deepfake na rozmowie kwalifikacyjnej: sygnały w wideo i audio

Deepfake rozmowa kwalifikacyjna to scenariusz, w którym obraz (twarz) lub dźwięk (głos) jest syntetycznie modyfikowany w czasie rzeczywistym albo podmieniany. W mediach branżowych wskazuje się, że deepfake podczas rozmów jest jednym z realnych zagrożeń dla firm (Infor). W praktyce najczęściej spotyka się nie „filmową jakość”, tylko proste manipulacje: dziwna mimika, nienaturalne przejścia, opóźnienia między dźwiękiem a ruchem ust.

Zadanie rekrutacyjne: AI cheating na zadaniach rekrutacyjnych

Tu oszustwo jest najłatwiejsze, bo „dowód” jest tekstem/kodem. Jeśli zadanie jest standardowe (np. klasyczne CRUD, opis strategii marketingowej „dla firmy X”), model generatywny może wygenerować świetnie wyglądającą odpowiedź. Problem narasta, gdy organizacja:

• ocenia głównie „efekt końcowy”, a nie tok rozumowania,
• nie ma rozmowy o decyzjach i trade-offach,
• nie prosi o obronę rozwiązania na żywo.

Oferta i pre-onboarding: syntetyczne tożsamości i ryzyko finansowe

Na tym etapie wchodzą w grę:

• podstawione konta bankowe,
• próby wyłudzeń (np. „zmiana numeru konta”),
• presja czasu („podpisz dziś, bo jutro oferta przepada”).

Syntetyczna tożsamość w rekrutacji (łączenie prawdziwych danych z fałszywymi) jest opisywana jako rosnące ryzyko, z którym firmy muszą się liczyć (Infor).

Onboarding: moment najwyższej stawki

Onboarding to chwila, gdy ryzyko materializuje się w dostępie: sprzęt, konta, uprawnienia, narzędzia. Z perspektywy bezpieczeństwa procesu rekrutacji to etap, gdzie weryfikacja tożsamości i spójność danych powinny być domknięte — bo później koszty rosną wykładniczo.

Checklista sygnałów ostrzegawczych dla rekrutera i hiring managera

Poniższa checklista nie ma służyć do „skreślania” ludzi. Ma pomóc zdecydować, czy przechodzisz z trybu standardowego na wzmocniony (więcej o tym w kolejnej sekcji).

Sygnały w CV i profilu (LinkedIn/GitHub/portfolio)

Najbardziej użyteczne sygnały to te, które da się zweryfikować bez wchodzenia w prywatność:

• Konkret vs deklaracja: „zoptymalizowałem procesy” bez skali i metryki jest mniej wiarygodne niż „skróciliśmy czas X o Y% w Z miesięcy”.
• Ślady pracy: prezentacje, wpisy, fragmenty repozytoriów, opisy projektów z ograniczeniami i kontekstem.
• Spójność osi czasu: przerwy są normalne. Niespójne daty i „nakładające się” etaty bez wyjaśnienia — to sygnał do dopytania, nie do osądu.

Sygnały na screenie i rozmowie: spójność, latencja, zachowanie

W rozmowie najważniejsza jest spójność narracji i detali. Osoba, która realnie wykonała projekt, pamięta ograniczenia, błędy, decyzje, konflikty priorytetów. Jeśli słyszysz wyłącznie „ładne ramy” i brak brudu, to może być efekt AI lub podsłuchiwania podpowiedzi.

W kontekście deepfake rozmowy kwalifikacyjnej zwracaj uwagę na:

• nietypowe opóźnienia reakcji,
• problemy z ruchem ust względem dźwięku,
• „pływające” kontury twarzy przy ruchu,
• częste zasłanianie twarzy, nienaturalne kadry.

To nie są dowody. To są przesłanki do uruchomienia dodatkowego kroku weryfikacji.

Weryfikacja kandydata bez tarcia: minimalny zestaw kroków

Największy błąd w anty-fraud to próba „zabezpieczenia wszystkiego” kosztem czasu i zaufania. Zwłaszcza że procesy i tak potrafią się wydłużać — a dłuższy time-to-offer pogarsza candidate experience i konwersję (HRstandard / eRecruiter). Dlatego lepiej wdrożyć dwa tory:

• Tor standardowy (lekki): minimum kontroli, szybka decyzja, dobra komunikacja.
• Tor wzmocniony (podwyższone ryzyko): uruchamiany tylko po sygnałach z checklisty.

Weryfikacja tożsamości w rekrutacji: kiedy uruchamiać i jak komunikować

Weryfikacja tożsamości rekrutacja nie musi oznaczać „skanu dowodu na starcie”. Najczęściej wystarczy podejście progowe:

1. Po screenie (tylko przy sygnałach): krótka prośba o dodatkowy element potwierdzający spójność (np. link do portfolio z opisem wkładu, doprecyzowanie osi czasu).
2. Przed ofertą (częściej): potwierdzenie danych potrzebnych do umowy — jasno, minimalnie, zgodnie z zasadą ograniczenia celu.
3. Na onboardingu (zawsze, ale sprawnie): standardowe potwierdzenie tożsamości, odbiór sprzętu, uprawnienia.

W kontekście rosnących wymogów compliance warto pamiętać, że narzędzia AI używane w rekrutacji mogą podpadać pod reżim „wysokiego ryzyka”, gdzie istotne są m.in. transparentność, procedury i nadzór człowieka (Legalden). Materiały o AI Act podkreślają także wagę przygotowania organizacji na nowe obowiązki przy wykorzystaniu AI w procesach HR (Carpatia Biznes).

Bezpieczeństwo procesu rekrutacji: logi, zgody, minimalizacja danych

„Bezpieczeństwo procesu rekrutacji” to także higiena operacyjna:

• Minimalizacja danych: zbieraj tylko to, co potrzebne na danym etapie.
• Kontrola dostępu: kto widzi dokumenty, kto ma uprawnienia w ATS, kto może eksportować dane.
• Ślady decyzyjne: notatki z rozmów, uzasadnienia decyzji, historia zmian w procesie.
• Nadzór człowieka nad automatyzacją: jeśli ATS lub narzędzie AI wspiera selekcję, zdefiniuj, gdzie decyzję podejmuje człowiek i jak audytujesz błędy — to spójne z kierunkiem wymagań opisywanych w kontekście AI Act (Legalden).

Zadania i rozmowy odporne na oszustwa (AI cheating) – praktyczne wzory

Najbardziej „oszukiwalne” procesy to te, które oceniają wyłącznie wynik końcowy i premiują ładną formę. Odporność buduje się inaczej: przez dowody procesu, rozmowę o decyzjach i pracę na materiale, którego nie da się łatwo wygenerować bez zrozumienia.

Zadania „do pokazania procesu”: jak utrudnić kopiowanie i generowanie

Zamiast klasycznego zadania „zrób X”, zastosuj formaty, które wymagają kontekstu:

• Case na materiale firmowym (zanonimizowanym): fragment danych, opis sytuacji, ograniczenia. Kandydat ma zaproponować rozwiązanie i uzasadnić priorytety.
• Dwa warianty rozwiązania: poproś o porównanie A vs B, ryzyka, koszty utrzymania, wpływ na użytkownika.
• Recenzja (review) cudzego rozwiązania: daj gotowy kod/tekst/propozycję i poproś o krytyczną ocenę + poprawki.
• „Dziennik decyzji”: kandydat opisuje 3–5 kluczowych decyzji i dlaczego je podjął.

Te formaty nie eliminują AI. Ale zmieniają grę: model może pomóc, lecz bez zrozumienia kontekstu kandydat nie obroni odpowiedzi.

Rozmowa techniczna/kompetencyjna: pytania o decyzje i trade-offy

W rozmowie zamiast pytać „czy znasz X”, pytaj:

• „Opowiedz o sytuacji, gdy musiałeś wybrać między szybkością a jakością. Co wybrałeś i dlaczego?”
• „Jaką decyzję w ostatnim projekcie dziś byś zmienił?”
• „Jakie były ograniczenia: budżet, dane, interesariusze, ryzyko?”

W świecie selektywnych rekrutacji i „rynku kompetencji” takie podejście lepiej przewiduje dopasowanie niż sprawdzanie definicji (pulsHR.pl).

Co robić po wykryciu podejrzenia: eskalacja, decyzje, dokumentacja

Gdy pojawia się podejrzenie oszustwa w rekrutacji, organizacje często wpadają w jedną z dwóch skrajności: natychmiastowe odrzucenie bez rozmowy albo przeciąganie procesu „bo nie mamy dowodu”. Lepsze jest podejście operacyjne: eskalacja, minimalne dowody, szybka decyzja, równe traktowanie.

Szybka ścieżka eskalacji (kto, kiedy, co robi)

Ustal z góry:

• kto jest właścicielem incydentu (TA Lead? HRBP? Security?),
• jakie są progi (np. podejrzenie deepfake, niespójne dane tożsamości, podejrzenie podszycia),
• jakie są dozwolone działania (dodatkowa rozmowa, prośba o potwierdzenie danych, wstrzymanie procesu).

W tle jest jeszcze jeden wymiar: jeśli używasz narzędzi AI w procesie, rośnie znaczenie procedur i nadzoru człowieka, o czym pisze się w kontekście AI Act i klasyfikacji systemów w HR (Legalden, Carpatia Biznes).

Jak dokumentować podejrzenie fraudu bez naruszania prywatności

Dokumentuj fakty, nie interpretacje:

• „niespójność dat między CV a LinkedIn o X miesięcy”
• „kandydat nie potrafił wyjaśnić kluczowych decyzji w zadaniu”
• „podczas rozmowy występowały istotne rozjazdy audio-wideo i powtarzalna latencja”

Unikaj etykiet typu „na pewno deepfake”. Zapisz: „podejrzenie manipulacji wideo — uruchomiono rozmowę kontrolną / dodatkową weryfikację”.

Jak mówić o weryfikacji, by nie zabić candidate experience

Candidate experience nie przegrywa przez sam fakt weryfikacji. Przegrywa przez niepewność, brak informacji i przeciąganie. A dane o wydłużaniu czasu do oferty pokazują, że cierpliwość kandydatów już jest testowana (HRstandard / eRecruiter).

Zasady komunikacji, które działają:

1. Powiedz „dlaczego” językiem organizacji, nie bezpieczeństwa: „chronimy dane klientów i zapewniamy równe zasady” brzmi lepiej niż „boją się deepfake’ów”.
2. Ustal oczekiwania czasowe: ile potrwa dodatkowy krok i kiedy wrócisz z odpowiedzią.
3. Daj alternatywę, jeśli to możliwe: np. krótka rozmowa audio + dodatkowe pytania zamiast wymogu konkretnej platformy wideo.
4. Nie eskaluj emocji: neutralny ton, brak insynuacji.

Pamiętaj też o kontekście regulacyjnym: jeśli stosujesz AI w rekrutacji, rośnie znaczenie przejrzystości wobec kandydatów i nadzoru człowieka, co jest podnoszone w analizach AI Act dla HR (Legalden).

Jeśli chcesz dodatkowo wzmocnić zaufanie do marki pracodawcy, zadbaj o spójność ogłoszeń i procesów. Na Hexjobs znajdziesz m.in. porady dla pracodawców i HR, a jeśli rekrutujesz — możesz od razu przejść do opcji dodaj ogłoszenie o pracę. Dla osób budujących karierę w TA przydatne będą też ogłoszenia pracy w HR i rekrutacji.

Mini‑polityka anty‑fraud do wdrożenia w 7 dni: RACI i metryki

Poniżej szybki plan wdrożenia. Nie wymaga dużych budżetów. Wymaga konsekwencji i jasnych ról.

Dzień 1–2: definicje, progi ryzyka, odpowiedzialności (RACI)

Ustal słownik:

• co nazywacie „podejrzeniem”,
• jakie są typy incydentów (CV/portfolio, deepfake, podszycie, syntetyczna tożsamość),
• jakie są progi uruchomienia kontroli.

RACI (przykład):

• R (Responsible): Rekruter prowadzący (uruchamia kontrolę), Hiring Manager (rozmowa obronna), HR Ops (weryfikacja danych przed umową)
• A (Accountable): TA Lead / Head of HR (decyzja o odrzuceniu z powodu fraudu, polityka)
• C (Consulted): Security / IT (jeśli ryzyko dotyczy dostępu), Legal/Compliance (ramy komunikacji i danych, szczególnie przy narzędziach AI)
• I (Informed): HRBP, lider zespołu docelowego (w zależności od roli)

W tle uwzględnij fakt, że wykorzystanie AI w procesach HR wiąże się z rosnącą presją compliance i wymaganiami (transparentność, nadzór), co opisują analizy AI Act dla HR (Legalden, Carpatia Biznes).

Dzień 3–4: przebudowa zadań i rozmów (odporność na AI cheating)

• Zamień 1 standardowe zadanie na zadanie „procesowe” (review / trade-off / materiał firmowy).
• Dodaj 10-min „obronę rozwiązania” jako stały element dla ról, gdzie ryzyko kosztu złego zatrudnienia jest wysokie.
• Przygotuj bank pytań o decyzje, ograniczenia, retrospekcję.

To dobrze pasuje do trendu selektywnych rekrutacji: mniej masowo, bardziej dowodowo (pulsHR.pl).

Dzień 5: komunikacja i SLA (żeby nie wydłużać procesu)

Skoro czas do oferty potrafi rosnąć (kontekst: HRstandard / eRecruiter), dodaj proste SLA:

• feedback po screenie do 48h,
• decyzja po rozmowie technicznej do 72h,
• dodatkowa weryfikacja (jeśli uruchomiona) zamyka się w 2–3 dni robocze.

Dzień 6: logi i minimalna dokumentacja

• Szablon notatki incydentu (fakty, kroki, decyzja).
• Zasady przechowywania (kto ma dostęp, jak długo, gdzie).
• Lista „dozwolonych” działań weryfikacyjnych.

Dzień 7: metryki i przegląd po 30 dniach

Nie da się zarządzać anty-fraud „na wyczucie”. Minimalny zestaw metryk:

• Odsetek procesów w trybie wzmocnionym (czy nie przesadzacie).
• False positives (ile osób „podejrzanych” okazało się OK).
• Time-to-offer dla trybu standard vs wzmocniony (czy kontrola nie zabija konwersji).
• Jakość zatrudnienia / early attrition (czy problem był realny).
• Powody uruchomienia kontroli (które sygnały naprawdę coś przewidują).

Warto osadzić to w szerszym kontekście trendów HR: technologia staje się normą, ale „przewaga człowieka” (nadzór, decyzje, odpowiedzialność) rośnie jako temat strategiczny (ManpowerGroup Poland; kontekst technologiczny: Devire, Wyzwania HR / Pracuj.pl).

Podsumowanie

Oszustwa w rekrutacji nie znikną — będą ewoluować razem z narzędziami AI i zdalnymi procesami. Dobra wiadomość jest taka, że nie musisz wybierać między bezpieczeństwem a candidate experience. Najlepiej działa podejście „risk-based”: lekki proces dla większości, wzmocniony tylko po konkretnych sygnałach. Do tego zadania i rozmowy nastawione na tok rozumowania, a nie na „ładny wynik”, oraz jasna komunikacja i SLA, żeby nie dokładać kandydatom kolejnych tygodni czekania.

Źródła

1. Fałszywe CV, deepfake na rozmowie i syntetyczne tożsamości. Polskie firmy muszą się bronić! — kontekst zjawiska fraud recruiting w Polsce (CV AI, deepfake, syntetyczne tożsamości).
2. AI Act w dziale HR: Co oznacza, że proces rekrutacji to system wysokiego ryzyka? — omówienie kwalifikacji systemów HR jako high-risk i roli nadzoru człowieka/transparencji.
3. AI Act a HR: nowe obowiązki pracodawców przy wykorzystaniu sztucznej inteligencji w rekrutacji — kontekst obowiązków i harmonogramu wymogów związanych z użyciem AI w HR.
4. Czas na ofertę pracy wydłuża się do 22 dni – raport eRecruiter — dane o wydłużającym się czasie do oferty i konsekwencjach dla candidate experience.
5. Raport trendów 2026 (Devire) — trendy technologiczne w rekrutacji i HR (normalizacja narzędzi, automatyzacja).