AI Act – pierwsze przepisy już obowiązują. Co wprowadza nowa regulacja?

2 lutego 2025 r. weszły w życie pierwsze regulacje wynikające z Rozporządzenia w sprawie sztucznej inteligencji (AI Act). Jest to przełomowy akt prawny ustanawiający jednolite zasady dotyczące rozwoju i stosowania systemów AI na terenie Unii Europejskiej. Wprowadza on szczegółowe obowiązki dla podmiotów zajmujących się wdrażaniem, sprzedażą oraz wykorzystywaniem systemów AI, w szczególności tych klasyfikowanych jako wysokiego ryzyka.

Zakres regulacji AI Act

AI Act jest pierwszą kompleksową regulacją dotyczącą sztucznej inteligencji na świecie. Jej głównym celem jest zapewnienie bezpiecznego i zgodnego z prawem rozwoju oraz stosowania technologii AI. Rozporządzenie opiera się na podejściu proporcjonalnym do ryzyka, co oznacza, że im wyższy poziom zagrożenia generowany przez dany system, tym surowsze wymogi prawne zostają nałożone na jego dostawców i użytkowników.

Podział systemów AI według poziomu ryzyka

Zgodnie z AI Act, systemy sztucznej inteligencji są klasyfikowane w czterech kategoriach ryzyka:

• niedopuszczalne – obejmują systemy uznane za zagrożenie dla praw podstawowych, np. narzędzia do rozpoznawania emocji w miejscu pracy oraz systemy tzw. „social scoringu” oceniające obywateli na podstawie ich zachowań. Są one całkowicie zakazane.
• wysokiego ryzyka – dotyczy systemów stosowanych m.in. w procesach rekrutacyjnych, finansach, opiece zdrowotnej oraz infrastrukturze krytycznej. W ich przypadku obowiązują surowe wymogi w zakresie przejrzystości, zarządzania danymi i nadzoru.
• ograniczonego ryzyka – obejmuje np. chatboty i generatywne systemy AI, które muszą spełniać wymogi informacyjne (użytkownik musi być świadomy interakcji z systemem AI).
• minimalnego ryzyka – większość systemów AI, które nie podlegają szczególnym restrykcjom.
  

Regulacje obowiązujące od 2 lutego 2025 r.

Z dniem 2 lutego 2025 r. weszły w życie pierwsze istotne obowiązki dla podmiotów stosujących systemy AI, dotyczące:

• Zakazanych praktyk AI – obejmujących m.in.:
  • systemy social scoringu (ocena obywateli na podstawie ich zachowań i cech osobistych),
  • systemy AI stosujące manipulacyjne techniki psychologiczne do wpływania na decyzje użytkowników,
  • biometryczną kategoryzację według cech wrażliwych (np. orientacji seksualnej, poglądów politycznych, rasy),
  • masowe rozpoznawanie twarzy w przestrzeni publicznej (z wyjątkiem zastosowań związanych z bezpieczeństwem narodowym i ściganiem przestępstw).
    
• Obowiązków dla dostawców generatywnej AI – w tym:
  • zapewnienia przejrzystości – generowane przez AI treści muszą być jednoznacznie oznaczane jako wygenerowane przez system sztucznej inteligencji,
  • ujawniania informacji o danych szkoleniowych – firmy muszą publikować streszczenia wykorzystywanych zbiorów danych,
  • wdrożenia mechanizmów zapobiegających generowaniu treści niezgodnych z prawem.

Podmioty zajmujące się tworzeniem i udostępnianiem ogólnych modeli AI są zobowiązane do spełnienia nowych regulacji, które w przyszłości będą rozszerzane o kolejne wymogi.

Harmonogram dalszego wdrażania AI Act

Regulacje wprowadzane od 2 lutego 2025 r. stanowią pierwszy etap wdrażania AI Act. Kolejne obowiązki będą stopniowo implementowane:

• czerwiec 2025 r. – powołanie europejskiego organu ds. sztucznej inteligencji, który będzie nadzorował przestrzeganie przepisów.
• sierpień 2025 r. – obowiązek rejestracji systemów AI klasyfikowanych jako wysokiego ryzyka.
• sierpień 2026 r. – pełne wejście w życie AI Act, w tym szczegółowe regulacje dotyczące systemów wysokiego ryzyka.
  

AI Act – obowiązki dostawców i użytkowników systemów AI

AI Act nakłada obowiązki zarówno na dostawców systemów AI, jak i firmy korzystające z tej technologii. Zakres regulacji jest jednak różny w zależności od roli danego podmiotu.

Obowiązki dostawców AI (producentów, dystrybutorów, importerów)

Największa odpowiedzialność spoczywa na podmiotach, które tworzą, sprzedają lub wprowadzają do obrotu systemy AI – zwłaszcza te klasyfikowane jako wysokiego ryzyka. Ich kluczowe obowiązki obejmują:

• Przestrzeganie norm technicznych i zapewnienie zgodności systemów AI z wymogami regulacyjnymi,
• gwarancję przejrzystości działania oraz wdrożenie mechanizmów nadzoru nad funkcjonowaniem systemów,
• zarządzanie ryzykiem, w tym opracowanie procedur minimalizujących potencjalne zagrożenia,
• rejestrację systemów wysokiego ryzyka w unijnym rejestrze AI,
• ujawnianie informacji o szkoleniu modeli AI, w tym szczegółów dotyczących wykorzystywanych danych.
  
  

Obowiązki firm korzystających z AI (użytkowników końcowych)

Podmioty, które nie zajmują się tworzeniem AI, ale wykorzystują ją w swojej działalności, również mogą podlegać regulacjom. Dotyczy to w szczególności przedsiębiorstw, które:

• wdrażają systemy AI wysokiego ryzyka w obszarach takich jak rekrutacja, finanse, opieka zdrowotna, transport czy edukacja,
• wykorzystują generatywną AI do automatycznego tworzenia treści, np. chatbotów, systemów rekomendacji czy generowania umów,
• stosują AI w procesach decyzyjnych wpływających na prawa jednostek, np. scoringu kredytowego czy analizy danych osobowych.

Firmy te muszą:

✅ Zachować kontrolę nad działaniem AI i monitorować jej wpływ na użytkowników,
✅ informować o korzystaniu z AI, szczególnie w przypadku decyzji wpływających na ludzi,
✅ przestrzegać zasad przejrzystości i ochrony danych, w tym regulacji RODO,
✅ monitorować ryzyko związane z AI i podejmować działania zapobiegawcze w przypadku wykrycia potencjalnych zagrożeń.

W praktyce, jeśli firma korzysta z systemów AI do:

• Analizy kandydatów do pracy,
• automatycznej oceny zdolności kredytowej klientów,
• personalizacji ofert i systemów rekomendacyjnych,

może podlegać AI Act i będzie zobowiązana do zapewnienia zgodności z nowymi regulacjami. Dostosowanie się do przepisów nie tylko minimalizuje ryzyko sankcji, ale również zwiększa bezpieczeństwo i zaufanie użytkowników do technologii AI.