Portal dla tych,
którzy chcą dotrzeć na sam szczyt

Rewolucja w AI Act już od 2 sierpnia. Te obowiązki wejdą w życie bez opóźnień

Unijny akt o sztucznej inteligencji (AI Act) wchodzi w kluczową fazę wdrażania. Już 2 sierpnia 2026 roku zacznie obowiązywać większość przepisów dotyczących przejrzystości. Zmiany dotkną m.in. chatbotów, generatorów treści, deepfake’ów, a także systemów rozpoznawania emocji czy kategoryzacji biometrycznej.

Źródło: Freepik

Chociaż Bruksela zdecydowała się na przesunięcie terminów dla najbardziej skomplikowanych systemów wysokiego ryzyka, biznes nie może liczyć na taryfę ulgową w segmencie codziennych narzędzi AI. Przedsiębiorstwa muszą zweryfikować swoje systemy i przygotować się na nowe, restrykcyjne wymogi. Za ich niedopełnienie grożą wielomilionowe kary.

Koniec z “ukrywaniem” sztucznej inteligencji?

Najważniejszą i najbardziej widoczną zmianą dla biznesu oraz konsumentów będzie wejście w życie art. 50 AI Act. Nakłada on na firmy rygorystyczne obowiązki informacyjne i techniczne w obszarze interakcji z użytkownikami.

Dostawcy systemów AI, które bezpośrednio komunikują się z ludźmi (np. chatboty, voiceboty czy wirtualni asystenci), muszą jednoznacznie zapewnić, by użytkownik miał świadomość, że rozmawia z maszyną. Wyjątkiem są jedynie sytuacje, w których jest to całkowicie oczywiste z kontekstu danej sytuacji.

Podmioty dostarczające narzędzia generujące syntetyczne obrazy, teksty, wideo czy dźwięk będą zmuszone technicznie umożliwić wykrywanie ich sztucznego pochodzenia. Wymagane jest stosowanie specjalnych oznaczeń (np. cyfrowych znaków wodnych) w formacie zdatnym do odczytu maszynowego. Wdrożone rozwiązania techniczne muszą być:

  • skuteczne i odporne na próby obejścia,
  • interoperacyjne i zgodne z rynkowymi standardami,
  • adekwatne kosztowo i oparte na aktualnym stanie wiedzy technicznej.

Szczególny rygor nałożono na podmioty publikujące deepfake’y oraz zmanipulowane teksty, które mają na celu informowanie opinii publicznej o sprawach ważnych społecznie. Odbiorca musi otrzymać jasny i czytelny komunikat o sztucznym pochodzeniu materiału.

Co ważne, prawo przewiduje pewne wyjątki – np. dla dzieł satyrycznych, artystycznych, fikcji literackiej czy treści poddanych pełnej kontroli redakcyjnej. Należy jednak pamiętać, że drobna korekta naniesiona przez człowieka na tekst wygenerowany przez maszynę nie zwalnia automatycznie z obowiązku jego oznaczenia.

Cięcie stóp jednak możliwe? W tle rekordowe zakupy złota i 500 miliardów w gotówce

Kodeks postępowania Komisji Europejskiej to za mało

Aby pomóc biznesowi we wdrożeniu nowych zasad, Komisja Europejska opublikowała 10 czerwca 2026 r. specjalny kodeks postępowania dotyczący oznaczania i etykietowania treści generowanych przez AI. Dokument ten zawiera zbiór dobrych praktyk i technicznych wskazówek.

Warto jednak pamiętać, że przystąpienie do unijnego kodeksu ma charakter dobrowolny. Nie zastępuje ono bezwzględnie obowiązującego prawa. Firma, która zrezygnuje z kodeksu, nie łamie przepisów, ale w razie kontroli będzie musiała samodzielnie udowodnić, że jej własne zabezpieczenia i oznaczenia spełniają wymogi art. 50 AI Act.

“Wdrożenie nowych przepisów nie może sprowadzać się do dopisania jednego zdania w polityce prywatności. Konieczna jest drobiazgowa weryfikacja interfejsów użytkownika, metadanych, procesów wydawniczych oraz umów z dostawcami technologii”.

Jeśli firma korzysta z zewnętrznego generatora i publikuje stworzone nim treści pod własną marką, to na niej spoczywa odpowiedzialność za komunikat skierowany do odbiorcy końcowego. Przedsiębiorstwa muszą sprawdzić, czy używane przez nie narzędzia technicznie znakują pliki i czy te znaczniki nie znikają po kompresji, eksporcie lub redakcji.

Systemy wysokiego ryzyka zyskują czas, ale przygotowania muszą ruszyć już teraz

Początkowy harmonogram unijny zakładał wdrożenie większości obostrzeń dla systemów wysokiego ryzyka również na sierpień 2026 roku. Opóźnienia w przygotowaniu zharmonizowanych norm technicznych wymusiły jednak rewizję tych planów.

Po porozumieniu politycznym z 7 maja 2026 r. harmonogram został uproszczony i rozciągnięty w czasie:

  • od 2 grudnia 2027 r. – zaczną obowiązywać szczegółowe wymagania dla systemów wysokiego ryzyka wymienionych w załączniku III (m.in. systemy stosowane w rekrutacji, edukacji, dostępie do usług publicznych, biometrii, infrastrukturze krytycznej, migracji czy wymiarze sprawiedliwości).
  • od 2 sierpnia 2028 r. – wejdą w życie rygory dla systemów AI wbudowanych bezpośrednio w regulowane produkty (np. urządzenia medyczne czy maszyny objęte unijnymi przepisami bezpieczeństwa).

Dłuższy termin nie oznacza jednak, że przedsiębiorstwa mogą odłożyć przygotowania na później. Opracowanie dokumentacji, przebudowanie łańcuchów dostaw, ustrukturyzowanie danych oraz zaprojektowanie procesów nadzoru ludzkiego nad algorytmami to procesy wymagające wielu miesięcy pracy. Co więcej, cały czas równolegle funkcjonują inne reżimy prawne: RODO, prawo pracy, przepisy konsumenckie oraz zakazy wprost wynikające z art. 5 AI Act.

W lipcu nastroje przedsiębiorców poprawiły się. Co na to wpłynęło?

Zakazane praktyki i kompetencje pracowników

Niektóre obostrzenia unijne nie czekają na sierpień – przedsiębiorcy muszą przestrzegać ich już od 2 lutego 2025 r. Od tej daty w całej Unii Europejskiej obowiązuje kategoryczny zakaz stosowania m.in.:

  • technik podprogowych i manipulacyjnych wpływających na zachowanie,
  • systemów wykorzystujących podatności określonych grup osób (np. ze względu na wiek czy niepełnosprawność),
  • państwowego lub komercyjnego scoringu społecznego,
  • systemów rozpoznawania emocji w miejscach pracy i placówkach edukacyjnych,
  • nieukierunkowanego masowego pobierania wizerunków twarzy z kamer monitoringu i internetu.

Od lutego 2025 r. firmy mają również prawny obowiązek dbania o tzw. budowanie kompetencji w dziedzinie AI (AI literacy) wśród swojego personelu. Szkolenia pracowników nie mogą być jedynie ogólnikowymi wykładami. Programy szkoleniowe muszą być ściśle dostosowane do specyfiki stanowiska – inne przygotowanie techniczne i prawne jest wymagane od pracownika marketingu korzystającego z generatora grafik, a zupełnie inne od analityka oceniającego zdolność kredytową klientów za pomocą algorytmów.

Audyt AI w 5 krokach

Aby sprostać nadchodzącym regulacjom, organizacje powinny przyjąć ustrukturyzowane podejście do audytu swoich zasobów technologicznych. Proces ten można podzielić na pięć kluczowych etapów:

  1. Inwentaryzacja zasobów (mapowanie). Stworzenie pełnej listy systemów AI używanych w firmie – od oficjalnie zakupionych platform, przez funkcje AI wbudowane w popularne aplikacje biurowe, aż po narzędzia typu “shadow IT” (nieformalnie używane przez pracowników systemy generatywne).
  2. Klasyfikacja ryzyka. Określenie poziomu ryzyka dla każdego narzędzia i przypisanie mu konkretnych obowiązków prawnych z AI Act.
  3. Przegląd umów z dostawcami. Zabezpieczenie dostępu do dokumentacji technicznej, logów, informacji o aktualizacjach, a także gwarancji zachowania znaczników autorstwa AI.
  4. Wdrożenie procedur operacyjnych. Opracowanie systemów nadzoru człowieka nad działaniem algorytmów, procedur zgłaszania błędów oraz ścieżek wycofywania wadliwych systemów z użycia.
  5. Gromadzenie dowodów zgodności. Prowadzenie rejestru szkoleń pracowników, archiwizowanie protokołów z testów systemów oraz dokumentowanie decyzji o klasyfikacji ryzyka.

Gigantyczne kary za brak przejrzystości

Ignorowanie przepisów o przejrzystości niesie za sobą poważne konsekwencje finansowe. Naruszenie art. 50 AI Act może skutkować nałożeniem kary administracyjnej w wysokości do 15 mln euro lub do 3% globalnego rocznego obrotu przedsiębiorstwa (przy czym dla firm większych niż MŚP zastosowanie ma wyższa z tych kwot). W przypadku małych i średnich przedsiębiorstw limity te są ustalane łagodniej, z uwzględnieniem niższej wartości.

Podczas wymierzania kar organy nadzorcze będą brały pod uwagę skalę naruszenia, liczbę poszkodowanych, czas trwania uchybienia oraz stopień współpracy firmy z regulatorem. Biznes musi jednak pamiętać, że unijne kary to nie jedyne ryzyko. Brak jasnego oznaczenia bota lub syntetycznego wideo może błyskawicznie stać się podstawą do roszczeń cywilnych z tytułu naruszenia dóbr osobistych, przepisów RODO czy praw konsumenckich.

źródło: PAP, Forsal

Zobacz też