Czym jest AI Act i kiedy wchodzi w życie?

AI Act to unijne rozporządzenie regulujące sztuczną inteligencję — pierwsza tak kompleksowa regulacja AI na świecie. Wchodzi w życie etapami: luty 2025 (zakaz niedopuszczalnych praktyk), sierpień 2025 (przepisy GPAI), sierpień 2026 (pełne stosowanie większości przepisów), sierpień 2027 (AI w produktach regulowanych).

Jakie systemy AI są zakazane przez AI Act?

AI Act zakazuje: social scoring (ocena obywateli), manipulacji podprogowej, biometrycznej identyfikacji w czasie rzeczywistym w przestrzeni publicznej (z wyjątkami), rozpoznawania emocji w pracy i szkołach, masowego scrapingu danych biometrycznych oraz predykcyjnej policji opartej na cechach osobistych.

Jakie kary grożą za naruszenie AI Act?

Kary za niedopuszczalne praktyki AI: do 35 mln EUR lub 7% rocznego obrotu globalnego. Inne naruszenia: do 15 mln EUR lub 3% obrotu. Podanie nieprawidłowych informacji: do 7.5 mln EUR lub 1% obrotu. Dla MŚP i startupów kary są proporcjonalnie niższe.

AI Act — europejska regulacja AI. Co zmienia? — Turing.pl

AI Act — co zmienia europejska regulacja sztucznej inteligencji?

2 sierpnia 2026 roku większość przepisów AI Act wchodzi w pełne stosowanie. To pierwsza na świecie kompleksowa regulacja sztucznej inteligencji — i zmienia zasady gry dla każdej firmy, która tworzy lub używa AI w Unii Europejskiej. W tym artykule wyjaśniamy, co AI Act oznacza w praktyce.

Czym jest AI Act?

AI Act (Rozporządzenie Parlamentu Europejskiego i Rady w sprawie sztucznej inteligencji) to unijne prawo regulujące rozwój, wdrażanie i używanie systemów AI w Europie. Zostało uchwalone 13 marca 2024 roku i wchodzi w życie etapami:

Luty 2025 — zakaz niedopuszczalnych praktyk AI
Sierpień 2025 — przepisy dotyczące modeli ogólnego przeznaczenia (GPAI)
Sierpień 2026 — pełne stosowanie większości przepisów
Sierpień 2027 — przepisy dla AI w produktach regulowanych (wyroby medyczne, maszyny)

Podejście oparte na ryzyku

Kluczowa idea AI Act: im większe ryzyko związane z systemem AI, tym surowsze wymagania. AI Act wyróżnia cztery kategorie:

1. Ryzyko niedopuszczalne (zakazane)

Systemy AI zakazane od lutego 2025:

Social scoring — systemy oceny obywateli na wzór chiński
Manipulacja podprogowa — AI wykorzystująca nieświadome techniki manipulacji
Biometryczna identyfikacja w czasie rzeczywistym — kamery rozpoznające twarze w przestrzeni publicznej (z wyjątkami dla ścigania poważnych przestępstw)
Rozpoznawanie emocji — w miejscu pracy i szkołach
Scraping biometryczny — masowe zbieranie danych biometrycznych z internetu
Predykcyjna policja — ocena ryzyka popełnienia przestępstwa na podstawie cech osobistych

2. Wysokie ryzyko (surowe wymagania)

Systemy AI wymagające certyfikacji, audytów i dokumentacji:

Rekrutacja i HR — screening CV, ocena kandydatów, monitoring pracowników
Scoring kredytowy — ocena zdolności kredytowej
Edukacja — automatyczne ocenianie, selekcja studentów
Dostęp do usług publicznych — systemy decyzyjne w urzędach
Ściganie przestępstw — profilowanie, analiza dowodów
Migracja — ocena wniosków azylowych, kontrola graniczna
Wyroby medyczne — AI diagnostyczne (od sierpnia 2027)
Infrastruktura krytyczna — transport, energia, woda

Obowiązki dostawców systemów wysokiego ryzyka:

System zarządzania ryzykiem
Zarządzanie danymi treningowymi (jakość, reprezentatywność, bias)
Dokumentacja techniczna
Logowanie i transparentność
Nadzór ludzki (human oversight)
Dokładność, odporność, cyberbezpieczeństwo
Ocena zgodności (samodzielna lub przez notified body)
Rejestracja w unijnej bazie danych

3. Ograniczone ryzyko (obowiązki transparentności)

Systemy wymagające informowania użytkownika:

Chatboty — użytkownik musi wiedzieć, że rozmawia z AI
Deepfakes — treści generowane przez AI muszą być oznaczone
Generowanie tekstu — treści AI publikowane jako informacje muszą być oznaczone
Systemy rozpoznawania emocji — informowanie o analizie

4. Minimalne ryzyko (brak dodatkowych wymagań)

Większość systemów AI: filtry spamu, gry, systemy rekomendacji, narzędzia produktywności. Mogą dobrowolnie stosować kodeksy postępowania.

Modele ogólnego przeznaczenia (GPAI)

AI Act wprowadza osobne przepisy dla modeli fundamentalnych (GPT-4, Claude, Gemini, Llama):

GPAI — obowiązki podstawowe (wszystkie modele):

Dokumentacja techniczna modelu
Polityka dotycząca praw autorskich (opt-out dla web scraping)
Podsumowanie danych treningowych
Współpraca z downstream dostawcami

GPAI z ryzykiem systemowym (bardzo duże modele):

Modele trenowane z mocą obliczeniową >10^25 FLOPS (lub wyznaczone przez Komisję):

Red teaming (testy adversarialne)
Ocena i mitigacja ryzyka systemowego
Raportowanie poważnych incydentów
Zapewnienie cyberbezpieczeństwa
Dokumentacja zużycia energii

Co to oznacza dla polskich firm?

Firmy korzystające z AI (deployers)

Jeśli Twoja firma używa systemu AI wysokiego ryzyka (np. AI do rekrutacji, scoringu kredytowego):

Musisz zapewnić nadzór ludzki nad decyzjami AI
Musisz informować pracowników/kandydatów o użyciu AI
Musisz monitorować system pod kątem ryzyka
Musisz prowadzić logi użycia systemu
Musisz przeprowadzić FRIA (Fundamental Rights Impact Assessment) dla systemów wysokiego ryzyka

Firmy tworzące AI (providers)

Jeśli tworzysz system AI:

Musisz sklasyfikować system wg kategorii ryzyka
Dla systemów wysokiego ryzyka: pełna dokumentacja, certyfikacja, audyty
Dla chatbotów/generatywnych: obowiązek oznaczania treści AI
Musisz współpracować z organami nadzoru

Firmy importujące AI (importers/distributors)

Jeśli importujesz system AI z USA/Chin:

Musisz zweryfikować zgodność z AI Act
Odpowiadasz za system na rynku UE

Kary za nieprzestrzeganie

AI Act wprowadza surowe kary finansowe:

Niedopuszczalne praktyki AI: do 35 mln EUR lub 7% rocznego obrotu (cokolwiek wyższe)
Inne naruszenia: do 15 mln EUR lub 3% obrotu
Nieprawidłowe informacje: do 7.5 mln EUR lub 1% obrotu
Dla MŚP i startupów: kary proporcjonalne do wielkości firmy

Kontekst globalny

AI Act to najbardziej kompleksowa regulacja AI na świecie, ale nie jedyna:

USA — Executive Order on AI (luźniejsze podejście, branżowe wytyczne)
Chiny — oddzielne regulacje dla generatywnej AI, deepfakes, algorytmów rekomendacji
UK — pro-innovation approach, sektorowe regulacje
Kanada — AIDA (Artificial Intelligence and Data Act)

Podejście UE oparte na ryzyku staje się globalnym wzorcem — wiele krajów modeluje swoje przepisy na AI Act.

Jak się przygotować?

Krok 1: Zinwentaryzuj AI w firmie

Zidentyfikuj wszystkie systemy AI, które tworzysz lub używasz. Sklasyfikuj je wg kategorii ryzyka AI Act.

Krok 2: Oceń luki

Porównaj obecne praktyki z wymaganiami AI Act dla każdej kategorii ryzyka.

Krok 3: Zbuduj governance

Wyznacz osobę odpowiedzialną za AI compliance. Stwórz procedury oceny ryzyka, dokumentacji i monitoringu.

Krok 4: Dokumentacja

Przygotuj dokumentację techniczną systemów AI. Udokumentuj dane treningowe, architekturę, metryki, testy.

Krok 5: Transparentność

Wdroż mechanizmy informowania użytkowników o interakcji z AI. Oznaczaj treści generowane przez AI.

Krok 6: Nadzór ludzki

Zapewnij, że krytyczne decyzje AI podlegają weryfikacji przez człowieka. Przeszkol pracowników w nadzorowaniu systemów AI.

Wpływ na rynek AI

AI Act zmieni rynek AI w Europie na kilka sposobów:

Bariera wejścia — compliance jest kosztowny, co może faworyzować duże firmy
Zaufanie — regulacja zwiększa zaufanie do AI, co paradoksalnie może przyspieszyć adopcję
Innowacja — niektóre obszary (social scoring, biometria) będą niedostępne, ale inne rozkwitną
Standaryzacja — wspólne standardy ułatwią interoperacyjność

Więcej o polskim rynku AI przeczytasz w naszym artykule AI w Polsce 2026.

Podsumowanie

AI Act to przełomowa regulacja, która ustanawia globalne standardy dla sztucznej inteligencji. Nie zakazuje AI — tworzy ramy, w których AI może się rozwijać odpowiedzialnie. Firmy, które wcześnie dostosują się do wymogów, zyskają przewagę konkurencyjną poprzez zaufanie klientów i partnerów.

Kluczowe daty: luty 2025 (zakazy), sierpień 2025 (GPAI), sierpień 2026 (pełne stosowanie). Czas na przygotowanie jest teraz.