Sztuczna inteligencja bardzo szybko przestała być wyłącznie tematem laboratoriów badawczych, startupów i działów innowacji. Dziś AI jest elementem realnych procesów biznesowych. Wspiera obsługę klienta, analizę dokumentów, wykrywanie nadużyć, ocenę ryzyka, pracę działów HR, monitoring, klasyfikację danych oraz automatyzację decyzji. Wraz z tym wzrosło znaczenie pytań o odpowiedzialność, przejrzystość, nadzór, bezpieczeństwo i zgodność regulacyjną. Właśnie w tym kontekście należy patrzeć na AI Act.
AI Act, czyli Rozporządzenie (UE) 2024/1689, to unijne rozporządzenie ustanawiające zharmonizowane zasady dla systemów sztucznej inteligencji w Unii Europejskiej. Jego celem jest jednoczesne wspieranie rozwoju i wdrażania AI oraz ograniczanie ryzyk dla zdrowia, bezpieczeństwa i praw podstawowych. To pierwsze tak szerokie, horyzontalne ramy prawne dla AI na poziomie UE, a ich znaczenie wykracza daleko poza samą debatę o chatbotach czy modelach generatywnych.
Spis Treści
Czym jest AI Act?
AI Act opiera się na podejściu risk-based, czyli zależnym od poziomu ryzyka. Nie chodzi więc o prosty podział na „AI dozwolone” i „AI zakazane”, lecz o przypisanie różnych poziomów obowiązków w zależności od tego, do czego dany system jest używany, w jakim kontekście działa i jaki może mieć wpływ na ludzi, organizacje oraz społeczeństwo. W praktyce rozporządzenie wyróżnia między innymi praktyki zakazane, systemy wysokiego ryzyka, systemy objęte obowiązkami przejrzystości oraz modele general-purpose AI.
To istotne, ponieważ wiele firm nadal błędnie zakłada, że AI Act dotyczy wyłącznie twórców dużych modeli albo dostawców publicznych chatbotów. W rzeczywistości regulacja obejmuje szerszy ekosystem podmiotów, w tym providerów, deployerów, importerów i dystrybutorów, a obowiązki zależą od pełnionej roli oraz konkretnego zastosowania systemu AI. Z perspektywy biznesowej najważniejsze nie jest więc pytanie „czy używamy AI?”, lecz „w jakiej roli występujemy i jakie ryzyko generują nasze wdrożenia?”.
Czy AI Act obowiązuje już w UE?
Tak. AI Act wszedł w życie 1 sierpnia 2024 r., ale jego stosowanie odbywa się etapami. To bardzo ważne rozróżnienie, bo w praktyce wiele osób myli moment wejścia w życie aktu prawnego z momentem, od którego wszystkie jego obowiązki stosuje się w pełnym zakresie. W przypadku AI Act kolejne elementy zaczynają obowiązywać stopniowo.
Najważniejsze daty są następujące. Od 2 lutego 2025 r. zaczęły obowiązywać między innymi przepisy dotyczące zakazanych praktyk AI oraz wymogi związane z AI literacy. Od 2 sierpnia 2025 r. zaczęła obowiązywać część przepisów dotyczących modeli general-purpose AI i wybranych struktur governance. Duża część głównych wymagań zacznie być stosowana od 2 sierpnia 2026 r., a część obowiązków dla wybranych systemów wysokiego ryzyka ma dłuższy okres przejściowy do 2 sierpnia 2027 r.
Dla firm oznacza to jedno: AI Act nie jest tematem „na później”. Nawet jeżeli dana organizacja nie wpada dziś w najbardziej rygorystyczny reżim, powinna już teraz rozumieć, jakie zastosowania AI istnieją w jej środowisku, kto za nie odpowiada i czy w najbliższych miesiącach nie pojawią się konkretne obowiązki dotyczące procesów, dokumentacji, kontroli lub kompetencji personelu.
Najważniejsze daty wyglądają następująco:
- 1 sierpnia 2024 r. – AI Act wszedł w życie,
- 2 lutego 2025 r. – zaczęły obowiązywać m.in. przepisy dotyczące zakazanych praktyk AI oraz obowiązki związane z AI literacy,
- 2 sierpnia 2025 r. – zaczęła obowiązywać część przepisów dotyczących governance oraz modeli general-purpose AI,
- 2 sierpnia 2026 r. – zaczyna obowiązywać duża część głównych wymagań rozporządzenia,
- 2 sierpnia 2027 r. – część obowiązków dla wybranych systemów high-risk ma dłuższy okres przejściowy.
Jakie praktyki AI są zakazane?
AI Act przewiduje katalog praktyk uznanych za niedopuszczalne ze względu na ich niedopuszczalny poziom ryzyka. Chodzi tu o obszary szczególnie wrażliwe z punktu widzenia praw podstawowych, manipulacji, wykorzystania podatności określonych grup czy niektórych form biometrii i social scoringu w określonych kontekstach.
Z perspektywy organizacji praktyczny wniosek jest prosty: nie każde „ciekawe” wdrożenie AI będzie zgodne z unijnym podejściem do bezpieczeństwa i praw podstawowych. Szczególną ostrożność należy zachować tam, gdzie AI wpływa na ocenę ludzi, monitorowanie ich zachowań, podejmowanie decyzji kadrowych, scoring, profilowanie lub kategoryzację. W takich przypadkach nie wystarczy zachwyt nad efektywnością technologii. Potrzebna jest analiza zgodności, celu użycia i wpływu na osoby, których dany system dotyczy.
Czym są systemy high-risk?
Największe znaczenie praktyczne dla biznesu mają systemy high-risk, czyli systemy AI wysokiego ryzyka. Nie są one co do zasady zakazane, ale ich użycie wiąże się z bardziej rygorystycznymi wymaganiami. AI Act łączy tę kategorię z obowiązkami dotyczącymi zarządzania ryzykiem, jakości danych, dokumentacji technicznej, logowania zdarzeń, nadzoru człowieka, przejrzystości, dokładności, odporności i cyberbezpieczeństwa.
W praktyce high-risk dotyczy zastosowań, które mogą realnie wpływać na bezpieczeństwo, prawa lub dostęp do ważnych usług i możliwości. Dla firmy nie zawsze najważniejsze będzie literalne zapamiętanie każdej kategorii z załączników do rozporządzenia. Znacznie ważniejsze jest pytanie operacyjne: czy nasz system AI wspiera lub automatyzuje decyzje, które mogą istotnie wpływać na ludzi, zatrudnienie, dostęp do usług, zgodność albo bezpieczeństwo operacyjne? Jeżeli tak, temat wymaga głębszej oceny i zwykle nie powinien być pozostawiony wyłącznie właścicielowi biznesowemu bez udziału compliance, security i architektury.
Obowiązki przejrzystości i modele general-purpose AI.
Nie każda organizacja będzie od razu miała do czynienia z systemem high-risk. To jednak nie oznacza, że AI Act jej nie dotyczy. Rozporządzenie przewiduje również obowiązki związane z przejrzystością, na przykład w sytuacjach, w których użytkownik powinien wiedzieć, że ma do czynienia z systemem AI, albo gdy treści zostały sztucznie wygenerowane lub zmanipulowane. Tego typu wymagania są istotne zwłaszcza w obszarze obsługi klienta, generowania treści, interfejsów konwersacyjnych i automatycznej komunikacji.
Osobnym i bardzo ważnym obszarem są modele general-purpose AI, czyli modele ogólnego przeznaczenia. Ten fragment regulacji jest szczególnie istotny dla dostawców modeli oraz podmiotów, które budują na nich własne produkty i usługi. W zależności od roli w łańcuchu dostaw organizacja może być objęta obowiązkami związanymi z dokumentacją, przejrzystością, współpracą z innymi podmiotami w łańcuchu zgodności czy zarządzaniem ryzykiem. To oznacza, że także firmy integrujące gotowe komponenty AI powinny rozumieć, jakie informacje i gwarancje muszą otrzymać od dostawców.
AI Act a zaufanie, bezpieczeństwo i audytowalność.
AI Act warto analizować nie jako kolejny ogólny temat o sztucznej inteligencji, lecz przez pryzmat zaufania, bezpieczeństwa, kontroli i audytowalności. Właśnie w takim ujęciu jego znaczenie staje się szczególnie istotne dla organizacji, które patrzą na AI nie tylko jako na narzędzie produktywności, ale jako na element środowiska technologicznego, który musi być zarządzany, monitorowany i oceniany w kontekście ryzyka.
Z perspektywy organizacji technicznych i środowisk regulowanych AI Act nie jest wyłącznie regulacją dotyczącą modeli i chatbotów. To również temat trust architecture. Bez wiarygodnego uwierzytelniania, bezpiecznej komunikacji, kontroli dostępu, integralnych logów, zarządzania tożsamością usług i odpowiedniego nadzoru trudno zbudować środowisko AI, które da się obronić audytowo i operacyjnie. Takie podejście otwiera kilka istotnych obszarów analizy: AI Act a cyberbezpieczeństwo, AI Act a audyt i traceability, AI Act a identity, access control i zaufanie do systemów, AI Act w środowiskach regulowanych, AI literacy z perspektywy organizacji technicznej oraz governance dla AI w firmie.
Właśnie takie ujęcie dobrze pokazuje, że AI Act nie dotyczy wyłącznie zgodności formalnej, lecz także dojrzałości organizacyjnej i technicznej. To temat, który naturalnie łączy się z zagadnieniami zaufania cyfrowego, bezpieczeństwa, compliance i architektury bezpieczeństwa, a więc z obszarami znacznie szerszymi niż same certyfikaty.
Co AI Act oznacza dla działów IT i cyberbezpieczeństwa?
Na pierwszy rzut oka AI Act może wyglądać jak regulacja głównie prawna. W praktyce jednak duża część zgodności będzie zależała od tego, czy organizacja potrafi wykazać kontrolę techniczną i procesową nad wdrożeniem AI. Nie da się sensownie mówić o odpowiedzialnym użyciu AI bez wiedzy o tym, kto korzysta z danego systemu, jakie dane do niego trafiają, kto zatwierdza wyniki, czy możliwe jest odtworzenie przebiegu decyzji i czy komunikacja pomiędzy komponentami jest odpowiednio zabezpieczona.
W praktyce oznacza to, że AI Act bardzo naturalnie łączy się z obszarami już dobrze znanymi zespołom security i architektury: identity and access management, szyfrowanie transmisji, uwierzytelnianie usług i API, integralność logów, monitoring, zarządzanie zmianą, segmentacja, kontrola dostępu do danych, zarządzanie dostawcami i traceability decyzji. Samo rozporządzenie nie jest oczywiście aktem „o certyfikatach SSL”, ale organizacja wdrażająca AI bez silnej warstwy zaufania technicznego może mieć realny problem z wykazaniem, że proces jest kontrolowany, bezpieczny i audytowalny. To właśnie tu pojawia się naturalne połączenie AI governance z obszarem trust architecture.
Dla wielu organizacji prawdziwe wyzwanie nie będzie polegało na przeczytaniu rozporządzenia, ale na przełożeniu go na praktykę operacyjną. Potrzebne będą odpowiedzi na pytania o właściciela systemu AI, zasady dopuszczenia go do użycia, sposób oceny ryzyka, kontrolę jakości danych wejściowych, akceptację wyników, sposób logowania działań i relację z dostawcą technologii. To są kwestie pogranicza cyberbezpieczeństwa, architektury, compliance i operacji IT, a nie wyłącznie działu prawnego.
Dlaczego temat dotyczy także firm, które „tylko używają” AI?
Wiele organizacji zakłada, że skoro nie budują własnego modelu, to AI Act ich praktycznie nie dotyczy. To zbyt uproszczone podejście. Firma, która wdraża narzędzie AI do obsługi klienta, klasyfikacji zgłoszeń, analizy dokumentów, wsparcia HR, scoringu, wykrywania nadużyć czy podejmowania decyzji operacyjnych, nadal funkcjonuje w określonej roli regulacyjnej i nadal musi kontrolować sposób użycia tego systemu. Rozporządzenie nie dotyczy wyłącznie twórcy modelu, lecz całego otoczenia jego wdrożenia i użycia.
Jest to szczególnie ważne w środowiskach regulowanych, takich jak finanse, sektor publiczny, zdrowie, farmacja czy infrastruktura krytyczna. W takich organizacjach AI nie może być traktowane jak kolejna anonimowa usługa SaaS uruchomiona ad hoc przez pojedynczy zespół. Musi mieć właściciela biznesowego, zdefiniowany zakres użycia, ocenę ryzyka, kontrolę dostępu, zasady pracy na danych i możliwość wykazania, że człowiek zachowuje odpowiedni poziom nadzoru tam, gdzie jest to wymagane.
AI literacy. Obowiązek, którego nie warto ignorować.
Jednym z najbardziej praktycznych i jednocześnie często niedocenianych elementów AI Act jest AI literacy. Nie chodzi tu o modne szkolenie z promptów, lecz o rzeczywiste zrozumienie ograniczeń systemu, ryzyk, poprawnego kontekstu użycia, jakości wyników i wpływu tych wyników na procesy biznesowe oraz osoby, których dotyczą.
To ma duże znaczenie operacyjne. Organizacja może mieć świetne narzędzie AI, a mimo to generować wysokie ryzyko, jeżeli użytkownicy nie rozumieją, kiedy wynik można potraktować jako pomocniczy, kiedy wymaga on weryfikacji człowieka i w jakich sytuacjach nie powinien być używany wcale. W praktyce AI literacy jest elementem governance, a nie jedynie dodatkiem szkoleniowym. W wielu firmach to właśnie brak kompetencji użytkowników będzie najsłabszym ogniwem zgodności i bezpieczeństwa.
Co firmy powinny zrobić już teraz?
Najrozsądniejsze podejście do AI Act nie polega na panice ani na tworzeniu dokumentacji dla samej dokumentacji. Dobrym początkiem jest inwentaryzacja wszystkich zastosowań AI w organizacji. Chodzi nie tylko o oficjalnie wdrożone systemy, ale także o oddolne użycie narzędzi generatywnych, copilotów, chatbotów, funkcji AI w aplikacjach SaaS, klasyfikatorów, OCR wspieranego przez AI czy automatyzacji raportowania. Bez tej wiedzy firma nie jest w stanie ocenić ani swojej roli, ani skali ryzyka.
Kolejny krok to przypisanie odpowiedzialności. Każde istotne wdrożenie AI powinno mieć właściciela biznesowego, właściciela technicznego i zdefiniowany model współpracy z compliance oraz security. Następnie warto sprawdzić fundament techniczny: sposób uwierzytelniania, zakres dostępu, jakość logowania zdarzeń, możliwość odtworzenia przebiegu decyzji, integralność danych wejściowych i wyjściowych, kontrolę zmian oraz zasady integracji z zewnętrznymi usługami. Bez tego trudno mówić o dojrzałym governance.
Równie ważny jest vendor management. Jeśli organizacja korzysta z zewnętrznych dostawców AI, powinna wiedzieć, jakie dane przekazuje, jakie gwarancje otrzymuje, jakie są ograniczenia odpowiedzialności, czy dostępna jest dokumentacja niezbędna dla własnej zgodności oraz jak wygląda łańcuch podwykonawców. W praktyce dużo ryzyk AI nie wynika z samego modelu, ale z tego, że firma nie rozumie warunków jego użycia i nie ma kontroli nad otoczeniem procesowym.
Na końcu potrzebne są zasady użycia i AI literacy. Nawet najlepsze technicznie wdrożenie może stać się problemem, jeśli użytkownicy nie wiedzą, kiedy wolno oprzeć się na wyniku AI, jak raportować błędy, kto ma prawo podejmować ostateczne decyzje i jakie przypadki wymagają eskalacji. Zgodność z AI Act w praktyce będzie więc mieszanką prawa, procesów, kompetencji i kontroli technicznych.
Co dalej?
AI Act to nie chwilowy news, lecz trwała zmiana regulacyjna wpływająca na sposób projektowania, wdrażania i nadzorowania systemów AI w Unii Europejskiej. Rozporządzenie już obowiązuje, ale jego przepisy są stosowane etapami. Dla firm najważniejsze pytanie nie brzmi dziś „czy AI Act istnieje?”, lecz „czy wiemy, gdzie w naszej organizacji działa AI, w jakiej roli występujemy i czy potrafimy wykazać kontrolę nad tym środowiskiem?”.
Z perspektywy technicznej AI Act prowadzi bezpośrednio do pytań o governance, bezpieczeństwo, przejrzystość, audytowalność i zaufanie. Dlatego temat ten jest istotny nie tylko dla prawników i compliance officerów, ale również dla architektów, działów IT, cyberbezpieczeństwa, DevOps i właścicieli usług. W praktyce zgodność z AI Act będzie w wielu organizacjach zależała nie tylko od dokumentów, ale również od jakości kontroli technicznych i dojrzałości procesów.
Artykuł ma charakter informacyjny i nie stanowi porady prawnej. Przy ocenie konkretnych wdrożeń AI warto połączyć analizę prawną, compliance i bezpieczeństwo techniczne.
Czy Twoja organizacja jest gotowa na AI Act?
Zgodność z AI Act nie sprowadza się wyłącznie do polityk i dokumentacji. W praktyce wymaga także bezpiecznej komunikacji, kontroli dostępu, integralności logów, nadzoru nad usługami oraz możliwości odtworzenia procesu decyzyjnego. Jeżeli chcesz ocenić, czy Twoje środowisko IT, bezpieczeństwa i governance jest gotowe na wymagania związane z AI, skontaktuj się z nami.