AI Act (rozporządzenie UE 2024/1689) to regulacja, która definiuje, jak systemy sztucznej inteligencji mogą – i jak nie mogą – funkcjonować na europejskim rynku. Obowiązuje bezpośrednio we wszystkich państwach UE – bez transpozycji – i dotyczy każdego systemu AI wprowadzanego na rynek europejski, niezależnie od kraju siedziby dostawcy. Aktowi przyświeca podejście oparte na ryzyku: im wyższe ryzyko, tym surowsze wymogi. Za naruszenie grożą kary nawet do 35 mln EUR lub 7% globalnego obrotu firmy.
Harmonogram wejścia w życie AI Act
Unijny ustawodawca przyjął model stopniowej adaptacji. AI Act wchodzi w życie etapami, dając rynkowi czas na dostosowanie procesów i technologii:
- Sierpień 2024 – wejście w życie (publikacja w Dzienniku Urzędowym UE).
- Luty 2025 – zakazy z rozdziału II (systemy niedopuszczalnego ryzyka).
- Sierpień 2025 – wymogi dla modeli GPAI i zasady zarządzania.
- Sierpień 2026 – pełne stosowanie przepisów dla systemów wysokiego ryzyka.
- Sierpień 2027 – rozszerzenie na systemy wysokiego ryzyka w produktach regulowanych (np. wyroby medyczne).
Sprawdź również: Wystartowała Akademia Cyber Compliance dla prawników!
Kary za nieprzestrzeganie AI Act
| Naruszenie | Maksymalna kara |
|---|---|
| Złamanie zakazów z art. 5 (niedopuszczalne ryzyko) | 35 mln EUR lub 7% obrotu |
| Naruszenie innych obowiązków (np. systemy wysokiego ryzyka) | 15 mln EUR lub 3% obrotu |
| Podanie nieprawdziwych informacji organom nadzorczym | 7,5 mln EUR lub 1% obrotu |
Mniejsze podmioty korzystają z progu korzystniejszego – stosuje się niższą z obu kwot, co chroni płynność finansową innowacyjnych firm. Odpowiedzialność spoczywa nie tylko na twórcach systemów AI (dostawcach), lecz także na importerach i podmiotach stosujących AI, jeśli naruszają przypisane im obowiązki.
Struktura AI Act – 13 rozdziałów, 113 artykułów, 180 motywów
AI Act to jeden z najbardziej rozbudowanych aktów normatywnych w historii prawa unijnego. Sama preambuła liczy 180 motywów – więcej niż RODO (173) – co odzwierciedla złożoność regulowanej materii. Do tego dochodzi 13 załączników stanowiących integralną część aktu; szczególną rolę odgrywa Załącznik III, precyzyjnie definiujący, które systemy AI kwalifikują się jako wysokiego ryzyka.
| Rozdział | Artykuły | Tematyka | Kluczowy detal |
|---|---|---|---|
| I — Przepisy ogólne | 1–4 | Definicje i zakres | AI Act reguluje systemy AI, nie zwykłe oprogramowanie oparte na regułach |
| II — Praktyki zakazane | 5 | Czerwone linie | Scoring społeczny, rozpoznawanie emocji w pracy i szkole, manipulacja podświadomością |
| III — Wysokie ryzyko | 6–49 | Najobszerniejsza część aktu | Rekrutacja, medycyna, infrastruktura krytyczna – surowe obowiązki compliance |
| IV — Przejrzystość | 50 | Systemy „udające” ludzi | Chatboty i deepfakes muszą informować użytkownika o swoim automatycznym charakterze |
| V — Modele GPAI | 51–56 | Modele ogólnego przeznaczenia | Reguluje modele bazowe; wprowadza pojęcie „ryzyka systemowego” |
| VI — Innowacje | 57–63 | Piaskownice regulacyjne | Sandboxes – testowanie AI pod nadzorem regulatora bez pełnych obowiązków |
| VII — Zarządzanie | 64–70 | Urząd ds. AI i organy krajowe | AI Board (Europejska Rada ds. AI) i wyznaczenie krajowych organów nadzoru |
| VIII — Baza danych UE | 71 | Rejestr systemów wysokiego ryzyka | Jeden artykuł – centralny rejestr systemów z Załącznika III |
| IX — Monitorowanie | 72–94 | Nadzór rynku i incydenty | Obowiązkowe zgłaszanie poważnych incydentów; nadzór po wprowadzeniu na rynek |
| X — Kodeksy postępowania | 95–96 | Dobrowolne standardy | Zachęty do opracowywania kodeksów dla systemów niskiego ryzyka |
| XI — Przekazanie uprawnień | 97–98 | Akty delegowane | Mechanizm, dzięki któremu AI Act nadąży za technologią jako żyjące prawo |
| XII — Kary | 99–101 | Trójstopniowy system sankcji | Zależne od rodzaju naruszenia |
| XIII — Przepisy końcowe | 102–113 | Zmiany innych rozporządzeń i harmonogram | Stopniowe wejście w życie 2024–2027 |
AI Act w Polsce – ustawa o systemach AI i KRiBSI
AI Act nie jest dyrektywą – obowiązuje bezpośrednio we wszystkich państwach UE bez potrzeby transpozycji. Jako rozporządzenie wymaga jednak uzupełnienia na poziomie krajowym w zakresie instytucji nadzorczych i szczegółowych procedur.
Polska odpowiedź to ustawa o systemach sztucznej inteligencji – jej projekt (stan na luty 2026) trafił pod obrady Rady Ministrów. Ustawa przewiduje powołanie Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) – organu wzorowanego na strukturze KNF.
Zadania KRiBSI:
- Monitorowanie przestrzegania przepisów w Polsce.
- Rozpatrywanie skarg obywateli i firm.
- Przeprowadzanie kontroli u dostawców i użytkowników systemów AI.
- Koordynacja z europejskimi organami nadzorczymi.
Koordynacja europejska odbywa się na dwóch poziomach:
- AI Office (Europejski Urząd ds. Sztucznej Inteligencji) – centralny organ przy Komisji Europejskiej, nadzorujący modele AI ogólnego przeznaczenia i jednolite stosowanie prawa w całej UE.
- AI Board (Rada ds. Sztucznej Inteligencji) – organ doradczy złożony z przedstawicieli państw członkowskich, zapewniający współpracę między regulatorami krajowymi a Komisją.
Polska ustawa ma zagwarantować spójność przepisów krajowych z wymogami unijnymi – co bezpośrednio ułatwia polskim przedsiębiorcom ekspansję na jednolity rynek europejski.
Zanim powstał AI Act – skoordynowany plan UE i droga do rozporządzenia
AI Act to pierwsze na świecie twarde prawo, które łączy cel wspierania innowacji z egzekwowaniem zgodności. Nie pojawiło się znikąd – jest zwieńczeniem wieloletniego procesu. Żeby zrozumieć, dlaczego akt wygląda tak, a nie inaczej, trzeba cofnąć się do 2021 roku i dokumentu, który wyznaczył kierunek: Skoordynowanego Planu dla Sztucznej Inteligencji Unii Europejskiej.
Czym był Skoordynowany Plan dla Sztucznej Inteligencji UE? (2021)
Plan z 2021 roku miał charakter polityczny, nie regulacyjny. Nie nakładał obowiązków ani kar – stanowił jednak niezbędne tło strategiczne dla AI Act. Wyróżniał cztery filary:
- Przestrzenie danych – infrastruktura umożliwiająca gromadzenie i wymianę danych niezbędnych do trenowania systemów AI.
- Centra eksperymentowania i testowania – miejsca, gdzie organizacje mogą rozwijać i weryfikować rozwiązania AI w kontrolowanych warunkach.
- Programy edukacyjne – budowanie kompetencji cyfrowych na poziomie państw członkowskich.
- Infrastruktura i skalowanie – zasoby obliczeniowe i ekosystem wspierający produkcję AI na skalę rynkową.
Cel był jeden: Unia Europejska miała stać się trzecim globalnym centrum AI – obok Stanów Zjednoczonych i Chin – ale na własnych warunkach.
Trzy centra AI, trzy modele etyczne – pozycja Europy
Na globalnej mapie sztucznej inteligencji dominują trzy centra – każde z własną logiką:
- Stany Zjednoczone – utylitaryzm rynkowy. Regulacja opiera się przede wszystkim na dobrowolnych zobowiązaniach Big Techów; liczy się efektywność, wynik, przewaga konkurencyjna. Odstępstwem był Executive Order Joe Bidena – choć nie miał mocy ustawy, narzucił gigantom technologicznym obowiązek raportowania wyników testów bezpieczeństwa w przypadku modeli zagrażających bezpieczeństwu narodowemu.
- Chiny – organizacja i spójność społeczna. AI służy zarządzaniu społeczeństwem i regulacji algorytmów na rzecz stabilności państwa. Chińskie przepisy z lat 2023–2026 kładą nacisk na „utrzymanie porządku społecznego” i „stabilność” – AI jest tam narzędziem monitorowania, filtrowania i kształtowania zachowań masowych.
- Unia Europejska – godna zaufania sztuczna inteligencja jako znak jakości. AI Act to nie tylko zbiór zakazów – to próba stworzenia globalnego standardu, w którym innowacja nie odbywa się kosztem wolności obywatelskich. Europa postawiła tezę: tylko technologia, której ufamy, może stać się powszechna.
AI Act i ,,efekt Brukseli”
UE jako pierwsza przełożyła postulaty etyczne na język twardego prawa z sankcjami. Fundamentem tego podejścia nie była improwizacja – opracowała go Grupa Ekspertów Wysokiego Szczebla ds. AI (HLEG), której efektem był Przewodnik dla godnej zaufania sztucznej inteligencji. Dokument wskazał, że godna zaufania AI musi spełniać trzy wymogi jednocześnie – każdy z nich znalazł bezpośrednie przełożenie na treść AI Act:
- Wymiar prawny – zgodność z obowiązującym prawem. W praktyce to cały ekosystem zaufania: RODO, AI Act i dyrektywa o odpowiedzialności za AI jako spójny trójkąt regulacyjny.
- Wymiar etyczny – poszanowanie wartości i praw człowieka. Siedem kluczowych wymogów HLEG (m.in. nadzór ludzki, ochrona prywatności, dobrostan społeczny) stało się bezpośrednią podstawą artykułu 9 AI Act dotyczącego systemów zarządzania ryzykiem.
- Wymiar techniczny – solidność i niezawodność systemu. Przełożono je na normy zharmonizowane CEN/CENELEC: odporność na ataki i obowiązkowa dokumentacja techniczna.
Europa liczy na efekt Brukseli: podobnie jak RODO stało się globalnym standardem ochrony danych, AI Act ma sprawić, że oznaczenie „rozwiązanie AI z Unii Europejskiej” stanie się synonimem bezpiecznego i etycznego produktu. Dostęp do jednolitego rynku europejskiego wymaga zgodności z aktem – niezależnie od kraju pochodzenia dostawcy.
Wypracowanie rozporządzenia zajęło cztery lata intensywnych negocjacji między Parlamentem Europejskim, Radą UE i Komisją Europejską. W ich toku zmieniło się też samo podejście do regulacji. Pierwotnie AI Act miał opierać się wyłącznie na podejściu opartym na ryzyku – uznano jednak, że to za mało. Do mechanizmów zarządzania ryzykiem i norm sankcyjnych dołączono podejście oparte na wartościach. Efektem jest akt, który nie tylko zakazuje i karze, lecz aktywnie wspiera budowę innowacji godnych zaufania.
Punkt pierwszy preambuły i artykuł 1 formułują coś bez precedensu w prawie unijnym: norma prawna ma wspierać innowacje godne zaufania przy jednoczesnym zachowaniu ram zarządzania ryzykiem. AI Act jest zarówno tarczą (ochrona przed szkodliwymi systemami AI), jak i dźwignią (aktywne wspieranie europejskiego przemysłu AI). Przejrzystość systemów AI – jeden z filarów reformy – to najlepszy przykład tej zasady w praktyce.