Rekrutacja zdalna daje dużą elastyczność, ale jednocześnie otwiera nowe luki w weryfikacji kandydatów. W praktyce coraz trudniej opierać ocenę wyłącznie na CV, rozmowie telefonicznej, profilu LinkedIn czy pojedynczym dokumencie tożsamości, zwłaszcza przy rolach wykonywanych całkowicie remote.

Problem fake candidates dotyczy szczególnie stanowisk technologicznych, ale nie tylko. Warto go rozumieć szerzej niż jako próbę podszycia się pod fikcyjną osobę. Często chodzi o kandydatów, którzy formalnie istnieją i przechodzą podstawową weryfikację, ale przedstawiają swoją historię zawodową w sposób, który nie odpowiada rzeczywistości.

Kogo dziś nazywamy fake candidate?

Pod tym pojęciem kryją się dwa różne zjawiska, które warto od siebie oddzielić, bo niosą inne ryzyko i wymagają trochę innej reakcji.

Pierwszy przypadek to osoba, która podaje się za kogoś, kim nie jest. Może używać całkowicie zmyślonej tożsamości albo posługiwać się danymi realnej osoby. W takim scenariuszu kandydat przechodzi proces rekrutacyjny pod cudzym nazwiskiem, z cudzą historią zatrudnienia albo z dokumentami, które nie potwierdzają tego, co deklaruje.

Drugi przypadek dotyczy kandydatów prawdziwych, występujących pod własnym imieniem i nazwiskiem, ale znacząco zawyżających zakres doświadczenia, wkład w projekty, kompetencje czy samodzielność działania. Tu problemem nie jest sama tożsamość, tylko rozjazd między profilem przedstawionym w aplikacji a realnymi umiejętnościami.

W obu sytuacjach firma ponosi koszt. Czasem będzie to strata czasu i błędna ocena kandydata. Czasem ryzyko idzie dalej i dotyczy dostępu do systemów, danych oraz reputacji pracodawcy.

Dlaczego rekrutacja zdalna jest bardziej narażona na ten problem?

Przy rekrutacji prowadzonej w pełni zdalnie odpada część naturalnych punktów kontrolnych, które wcześniej działały niemal automatycznie. Spotkanie w biurze, okazanie dokumentu na żywo czy zwykła obserwacja zachowania podczas kontaktu osobistego często pozwalały szybciej wychwycić niespójności.

W modelu remote wiele organizacji nadal opiera się na telefonie, wideorozmowie i dokumentach przesłanych online. To bywa niewystarczające. Rozmowa telefoniczna nie potwierdza tożsamości. Wideorozmowa również nie daje pełnej pewności, zwłaszcza w kontekście rozwoju deepfakeów. Z kolei dokument tożsamości może być nieważny, źle sprawdzony albo należeć do innej osoby.

Do tego dochodzi jeszcze jedna kwestia. Nawet jeśli oszustwo zostanie wykryte wcześnie, to firma i tak może już ponieść koszt. Zajęty slot w kalendarzu hiring managera, zaangażowanie kilku osób w rozmowę i odsunięcie prawdziwych kandydatów na dalszy plan to realna strata, szczególnie przy trudnych rekrutacjach.

Jakie ryzyka dla firmy wiążą się z fake candidates?

Najbardziej oczywiste ryzyko to błędne zatrudnienie osoby, która nie ma kompetencji deklarowanych w procesie. Taki scenariusz oznacza zwykle opóźnienia, dodatkowe wdrożenie i konieczność ponownego prowadzenia rekrutacji.

Drugi poziom ryzyka jest poważniejszy. Jeśli kandydat uzyskuje dostęp do firmowego sprzętu, środowisk pracy i danych, problem przestaje być wyłącznie błędem rekrutacyjnym. Staje się kwestią bezpieczeństwa organizacji. W materiale źródłowym pojawia się przykład osoby, która przeszła proces, rozpoczęła współpracę i dopiero po czasie wzbudziła podejrzenia przez nietypowe godziny pracy. Okazało się wtedy, że wcześniej błędnie zweryfikowano dokument tożsamości.

W skrajnych przypadkach motywacją może być nie tylko zdobycie wynagrodzenia, ale również dostęp do danych, systemów czy zasobów klientów. Materiał wskazuje też na zjawisko tak zwanych laptop farms, czyli miejsc, z których osoby pracują zdalnie pod cudzą tożsamością, łącząc się z laptopami znajdującymi się w kraju deklarowanego zatrudnienia.

7 sygnałów ostrzegawczych, które warto sprawdzać

Pojedyncza red flaga nie jest dowodem oszustwa. Kandydat może mieć nietypową historię edukacji, zagraniczny numer telefonu albo świeży profil LinkedIn z całkowicie uzasadnionych powodów. Znaczenie ma dopiero układ kilku niespójności i to, czy tworzą logiczny wzorzec.

1. Czy dane w CV i profilach zawodowych są spójne?

Pierwszym krokiem powinna być zwykła kontrola zgodności informacji między CV, LinkedInem, GitHubem i innymi źródłami, które kandydat sam wskazuje. Warto sprawdzić, czy okresy zatrudnienia, nazwy firm, zakres obowiązków i lokalizacja układają się w jedną historię.

To właśnie na tym etapie często wychodzą pierwsze rozjazdy. Kandydat deklaruje pracę w konkretnym mieście, ale inne źródła sugerują inny kraj lub inny model współpracy. Czasem różnice są drobne i mają racjonalne wyjaśnienie. Problem zaczyna się wtedy, gdy niespójności jest kilka i każda dotyczy innego elementu profilu.

2. Czy linki do profili, portfolio i firm faktycznie działają?

Link w CV sam w sobie nie potwierdza niczego. Trzeba go po prostu otworzyć. W materiale źródłowym wyraźnie pojawia się sytuacja, w której kandydaci podają odnośniki do LinkedIna czy GitHuba, ale po kliknięciu nic się nie dzieje.

Zdarza się oczywiście zwykła literówka, ale niedziałające linki powinny uruchamiać dodatkową czujność. Jeśli kandydat odwołuje się do profilu, portfolio albo pracodawcy, a ślady te okazują się puste lub nieaktywne, warto sprawdzić, czy to jednostkowe niedopatrzenie, czy część większego problemu.

3. Czy uczelnie i pracodawcy rzeczywiście istnieją?

Kolejnym prostym testem jest weryfikacja firm i uczelni wskazanych w CV. W materiale pada przykład egzotycznych uczelni, które same w sobie nie są dowodem niczego, ale mogą stać się red flagą, jeśli powtarzają się w podejrzanych schematach lub nie da się potwierdzić ich istnienia.

Podobnie bywa z pracodawcami. Nazwa firmy może brzmieć wiarygodnie, ale po sprawdzeniu okazuje się, że nie ma po niej śladu w internecie. Nie chodzi o automatyczne podważanie każdej mniej znanej organizacji. Chodzi o ustalenie, czy za deklarowanym doświadczeniem stoi jakikolwiek realny kontekst.

4. Co mówi historia i aktywność profilu LinkedIn?

LinkedIn bywa traktowany jak szybkie potwierdzenie wiarygodności, ale sam jego wygląd nie powinien kończyć weryfikacji. Warto sprawdzić, kiedy profil został założony, jak wygląda historia aktywności, ile ma kontaktów i czy wpisy są spójne z deklarowaną tożsamością oraz doświadczeniem.

Świeży profil nie oznacza automatycznie problemu. Podobnie niewielka liczba kontaktów. Sygnałem ostrzegawczym staje się raczej zestaw elementów: nowe konto, bardzo skromna sieć, nietypowa aktywność i brak naturalnego śladu zawodowego. Materiał zwraca też uwagę na widoczne w serwisie oznaczenia weryfikacji profilu, choć również one nie powinny zastępować zdrowego rozsądku.

5. Czy numer telefonu, lokalizacja i deklarowane miejsce pracy do siebie pasują?

W procesie zdalnym duże znaczenie mają dane kontaktowe. Jeśli kandydat deklaruje określony kraj lub miasto, a numer telefonu wskazuje na zupełnie inny kierunek, warto to odnotować i sprawdzić szerzej.

Sama zagraniczna końcówka numeru nie przesądza o niczym. Kandydat mógł mieszkać za granicą, przenieść się albo zachować dawny numer. Problem zaczyna się wtedy, gdy taki szczegół łączy się z innymi rozjazdami, na przykład nietypową edukacją, niejasną lokalizacją na LinkedInie czy niespójnymi godzinami aktywności.

Materiał wspomina również o numerach VOIP, które mogą imitować lokalne numery telefonów. To kolejny przykład sygnału, który samodzielnie niewiele znaczy, ale w szerszym obrazie może mieć znaczenie.

6. Co można wyczytać z metadanych pliku CV?

Metadane pliku to jeden z tych elementów, o których łatwo zapomnieć, a które czasem dostarczają zaskakująco użytecznych informacji. Można w nich znaleźć między innymi dane o autorze dokumentu czy godzinach jego edycji.

Jeśli CV kandydata deklarującego pracę i życie w Polsce było regularnie aktualizowane w porach sugerujących zupełnie inną strefę czasową, nie jest to jeszcze dowód oszustwa. Ale jest to sygnał, który warto zestawić z innymi obserwacjami. W materiale pojawia się też sytuacja, w której w metadanych widoczne było imię i nazwisko sugerujące inne pochodzenie niż to wpisane w aplikacji.

7. Czy CV nie jest zbyt idealnie dopasowane do ogłoszenia?

Bardzo precyzyjne dopasowanie dokumentu do treści ogłoszenia brzmi pozornie jak zaleta. Problem polega na tym, że CV tworzone przy intensywnym wsparciu AI może wyglądać perfekcyjnie, a jednocześnie nie odzwierciedlać realnych kompetencji kandydata.

Materiał wskazuje na dokumenty wypełnione keywordami, uporządkowane tak, by niemal idealnie odpowiadały opisowi stanowiska. Taki poziom zgodności nie jest niemożliwy, ale powinien wzbudzać ostrożność, zwłaszcza gdy towarzyszy mu brak naturalnych konkretów lub zbyt gładka, szablonowa narracja o doświadczeniu.

Na czym polega warstwowa weryfikacja kandydatów?

Najważniejsza zasada z materiału źródłowego jest prosta. Proces nie powinien polegać na automatycznym odrzucaniu kandydatów po jednej red fladze. Znacznie lepszym podejściem jest budowanie warstwowej drabiny weryfikacji.

Na początku warto sprawdzać elementy najprostsze i najmniej czasochłonne: dane kontaktowe, spójność doświadczenia, firmy, uczelnie, profile zawodowe i działające linki. Dopiero gdy pojawia się kilka niespójności jednocześnie, sens ma przechodzenie do bardziej wymagających metod.

W materiale wymieniono między innymi OSINT, analizę metadanych, dodatkowe pytania, rozmowę wideo, potwierdzenie dokumentów oraz spotkanie na żywo. Taki model ogranicza zarówno ryzyko przeoczenia problemu, jak i ryzyko false positive, czyli błędnego uznania prawdziwego kandydata za oszusta.

Czym jest OSINT w rekrutacji i kiedy ma sens?

OSINT, czyli Open Source Intelligence, w tym kontekście oznacza korzystanie z publicznie dostępnych źródeł do budowania pełniejszego obrazu kandydata. Nie chodzi o inwigilację, tylko o uporządkowaną weryfikację śladów, które kandydat pozostawia zawodowo w sieci.

Może to obejmować sprawdzenie obecności na LinkedInie, GitHubie, własnej stronie, wzmiankach o projektach czy innych publicznych źródłach. Celem nie jest znalezienie jednego dowodu, tylko ocena, czy deklarowana historia ma potwierdzenie poza samym CV.

To podejście staje się szczególnie przydatne wtedy, gdy podstawowe źródła nie dają jednoznacznej odpowiedzi, a liczba drobnych niespójności zaczyna rosnąć.

Jak automatyzacja rekrutacji zmienia skalę problemu?

Materiał zwraca uwagę nie tylko na kandydatów wykorzystujących AI do tworzenia perfekcyjnie wyglądających dokumentów, ale też na nowe ryzyko po stronie samych systemów rekrutacyjnych. Chodzi o prompt injection ukryty w CV lub innych dokumentach aplikacyjnych.

W praktyce kandydat może umieścić w pliku ukryty tekst, którego celem jest wpłynięcie na system AI analizujący aplikacje. Taki prompt może próbować wymusić wyższą ocenę kandydata albo zmianę jego pozycji w rankingu ATS.

To ważny sygnał dla firm, które mocno automatyzują screening. Sama automatyzacja nie wystarcza. Potrzebna jest kontrola, przejrzystość działania systemów i człowiek w procesie podejmowania decyzji.

Jakie kompetencje będą coraz ważniejsze po stronie rekruterów?

Z rozmowy wynika jasno, że rola rekrutera stopniowo się zmienia. Obok klasycznych kompetencji związanych z oceną doświadczenia i prowadzeniem rozmów rośnie znaczenie umiejętności z pogranicza HR-tech, cyberbezpieczeństwa, AI literacy i OSINT-u.

Nie oznacza to, że rekruter ma zastąpić dział bezpieczeństwa. Chodzi raczej o to, że proces rekrutacyjny staje się jednym z pierwszych punktów ochrony organizacji. To właśnie na tym etapie można wcześniej zauważyć niespójności, które później przełożyłyby się na większe problemy operacyjne, bezpieczeństwa lub wizerunkowe.

Dlaczego pojedyncza red flaga nie wystarczy?

To jedna z najważniejszych kwestii w całym temacie. Nietypowy numer telefonu, świeży LinkedIn, zagraniczna uczelnia czy niestandardowa ścieżka kariery mogą mieć całkowicie legalne i logiczne wyjaśnienie.

Dlatego sensowny proces nie opiera się na szybkim ferowaniu wyroków. Lepiej myśleć o weryfikacji jak o układaniu puzzli. Jeden element może być przypadkiem. Kilka elementów, które wzajemnie się wzmacniają, daje dopiero podstawę do pogłębienia sprawdzenia.

Takie podejście chroni firmę z dwóch stron. Zmniejsza ryzyko wpuszczenia do procesu osoby, która nie jest tym, za kogo się podaje, ale jednocześnie ogranicza ryzyko utraty dobrego kandydata przez zbyt pochopną ocenę.

Co z tego wynika dla procesu rekrutacyjnego?

Fake candidates to nie pojedyncza ciekawostka z rynku pracy, tylko realne wyzwanie dla rekrutacji zdalnej. Zwłaszcza tam, gdzie firma działa szybko, bazuje na pracy remote i coraz mocniej opiera screening na automatyzacji.

Najrozsądniejsze podejście nie polega na podejrzewaniu każdego kandydata, ale na spokojnym budowaniu warstwowej weryfikacji. Spójność danych, analiza publicznych źródeł, ostrożność wobec zbyt idealnych dokumentów i człowiek w procesie decyzyjnym stają się dziś po prostu elementem dobrze zaprojektowanej rekrutacji.