Regulacja
AI Act (rozporządzenie UE regulujące sztuczną inteligencję)
Rozporządzenie Parlamentu Europejskiego (EU) 2024/1689 z 13 czerwca 2024, regulujące systemy sztucznej inteligencji w Unii Europejskiej. Obowiązuje stopniowo: zakaz praktyk zakazanych od lutego 2025, wymogi dla modeli ogólnego przeznaczenia od sierpnia 2025, pełne wymogi dla systemów wysokiego ryzyka od sierpnia 2026, pełne obowiązywanie od sierpnia 2027.
Źródło pierwotne: EUR-Lex 32024R1689, Komisja Europejska Dyrekcja Generalna ds. Łączności
AI Act jest pierwszą horyzontalną regulacją AI na świecie. Sankcje za naruszenia sięgają 35 milionów euro lub 7 procent rocznego obrotu globalnego, ostrzejsze niż RODO. Dla polskich firm enterprise znaczna część obowiązków zaczyna obowiązywać od sierpnia 2026, co dla wdrożeń planowanych w 2025-2026 oznacza projektowanie zgodności od dnia pierwszego.
Cztery kategorie ryzyka
Praktyki zakazane. Social scoring obywatelski, manipulacja podświadoma, real-time biometric identification w przestrzeni publicznej (z wyjątkami dla organów ścigania). Zakaz absolutny od lutego 2025.
Systemy wysokiego ryzyka. Załącznik III ustawy: rekrutacja, ocena zdolności kredytowej, dostęp do edukacji, krytyczna infrastruktura, prawo, organa ścigania. Wymogi: ocena ryzyka, dokumentacja techniczna, transparentność, human oversight, log retention, audyt przez notified body. Obowiązuje od sierpnia 2026.
Systemy ograniczonego ryzyka. Chatboty, deepfakes, content generation. Wymóg: transparentność wobec użytkownika (informacja że to AI).
Systemy minimalnego ryzyka. Reszta. Bez specyficznych wymogów regulacyjnych, ale dobre praktyki rekomendowane.
Co konkretnie zmienia dla polskich firm
Większość polskich enterprise wdrożeń wpadnie w kategorię ograniczonego ryzyka (chatboty obsługi klienta, content generation w marketingu). Tutaj koszt zgodności jest umiarkowany: poprawka UX (informacja "rozmawiasz z AI"), polityka prywatności, dokumentacja.
Firmy z branż finansowych, ubezpieczeniowych, medycznych, prawnych, HR, edukacji mogą wpaść w kategorię wysokiego ryzyka. Tutaj wymogi są kapitałochłonne. Koszt zgodności szacowany przez Komisję Europejską: 6 000 do 7 000 euro na system w fazie wdrożenia plus 5 000 do 7 000 euro rocznie utrzymania. Dla średniej firmy z trzema wdrożeniami AI to 30 do 60 tysięcy euro w pierwszym roku.
Dokument GPAI
Modele General Purpose AI (GPT, Claude, Gemini, Mistral) mają osobne wymogi dla dostawców. Z perspektywy firm wdrażających: trzeba weryfikować, czy dostawca opublikował wymagane dokumenty (transparency template) i kontraktowo dostarczył dane dla downstream compliance.
Polski organ nadzoru
W Polsce funkcję notified body i krajowego organu nadzoru pełni od listopada 2025 UKE jako instytucja koordynująca, z udziałem PUODO (dla danych osobowych) i KNF (dla sektora finansowego).
Mapowanie ryzyka AI Act per use case w Twojej firmie jest częścią audytu gotowości. Implementacja polityki zgodności z AI Act realizowana w ramach Cybersecurity & AI Policy.