Kogo dotyczą regulacje AI Act?

AI Act obejmuje szerokie grono podmiotów zaangażowanych w rozwój, dystrybucję i wykorzystanie systemów sztucznej inteligencji. Regulacja dotyczy przede wszystkim pięciu kategorii podmiotów: dostawców (providers) odpowiedzialnych za rozwój i wprowadzanie systemów AI na rynek, wdrażających (deployers) korzystających z systemów AI w swojej działalności, importerów i dystrybutorów zajmujących się sprowadzaniem i dystrybucją systemów AI, producentów produktów integrujących systemy AI oraz autoryzowanych przedstawicieli działających w imieniu dostawców. Co istotne, regulacja ma zastosowanie nie tylko do podmiotów z UE, ale również do organizacji spoza Unii Europejskiej, które oferują systemy AI w UE lub gdy wyniki działania ich systemów AI są wykorzystywane na terenie UE. Z zakresu obowiązywania wyłączone są systemy AI używane wyłącznie do celów wojskowych i bezpieczeństwa narodowego, działalność badawczo-rozwojowa, rozwiązania open-source (z pewnymi ograniczeniami) oraz działalność osobista i nieprofesjonalna.

 Kluczowe daty wdrażania AI Act

 AI Act przewiduje stopniowe wdrażanie poszczególnych wymogów, co daje przedsiębiorcom czas na dostosowanie się do nowych regulacji:

- 2 lutego 2025 r.: Wejście w życie zakazu praktyk niedopuszczalnych oraz wymogów dotyczących znajomości AI (AI literacy).

- 2 maja 2025 r.: Finalizacja kodów praktyk dla modeli AI ogólnego przeznaczenia.

- 2 sierpnia 2025 r.: Start obowiązków dla dostawców modeli AI ogólnego przeznaczenia, powołanie organów nadzoru, wejście w życie przepisów dotyczących kar.

- 2 sierpnia 2026 r.: Wejście w życie głównych przepisów AI Act, w tym wymogów dla systemów wysokiego ryzyka z Załącznika III oraz przepisów dotyczących piaskownic regulacyjnych.

- 2 sierpnia 2027 r.: Wejście w życie wymogów dla systemów AI wysokiego ryzyka objętych ustawodawstwem harmonizacyjnym UE oraz dla modeli AI ogólnego przeznaczenia wprowadzonych na rynek przed 2 sierpnia 2025 r.

Ten harmonogram pozwala firmom zaplanować działania dostosowawcze w sposób etapowy, koncentrując się najpierw na wycofaniu systemów zabronionych, a następnie na przygotowaniu systemów wysokiego ryzyka do nowych wymogów.

System kategoryzacji AI według poziomu ryzyka

Sercem nowych regulacji jest system kategoryzacji AI oparty na poziomie ryzyka. Rozporządzenie całkowicie zakazuje stosowania systemów uznanych za niedopuszczalne - zabronione, takich jak mechanizmy manipulacji behawioralnej czy masowej inwigilacji biometrycznej w przestrzeni publicznej. Szczególnie rygorystyczne wymogi wprowadzono dla systemów wysokiego ryzyka, wykorzystywanych między innymi w rekrutacji, edukacji czy opiece zdrowotnej. Systemy te będą wymagać szczegółowej oceny zgodności, kompleksowej dokumentacji technicznej i stałego monitoringu.

Dla większości polskich firm kluczowe znaczenie mają natomiast regulacje dotyczące systemów ograniczonego ryzyka, takich jak chatboty czy narzędzia generatywne. W ich przypadku konieczne jest informowanie użytkowników o wykorzystaniu AI oraz wdrożenie odpowiednich zabezpieczeń przed tworzeniem nielegalnych treści. Dostosowanie się do nowych wymogów wymaga od firm znaczących inwestycji w systemy monitoringu i dokumentacji oraz szkolenia pracowników, jednak w dłuższej perspektywie zmiany mogą przynieść wymierne korzyści biznesowe, zwiększając zaufanie klientów i tworząc nowe możliwości rynkowe.

Cztery główne kategorie systemów AI w zależności od stopnia ryzyka:

• Systemy zakazane - całkowicie zabronione od 2 lutego 2025 r., obejmujące m.in. systemy oceny emocji w miejscu pracy, kategoryzację biometryczną związaną z danymi wrażliwymi czy manipulacyjne techniki podprogowe.
• Systemy wysokiego ryzyka - obejmujące m.in. systemy rekrutacyjne, narzędzia do oceny zdolności kredytowej czy zarządzania infrastrukturą krytyczną. Wymagają spełnienia szeregu rygorystycznych wymogów.
• Systemy ograniczonego ryzyka - podlegające głównie wymogom transparentności, jak chatboty czy generatory deepfake.
• Systemy minimalnego ryzyka - podlegające samoregulacji branżowej. Modele AI ogólnego przeznaczenia (GPAI)

 Szczególną kategorią podlegającą odrębnym regulacjom są modele AI ogólnego przeznaczenia (GPAI). AI Act definiuje je jako modele wykazujące znaczną ogólność, zdolne do kompetentnego wykonywania szerokiego zakresu różnych zadań, które mogą być zintegrowane z różnymi systemami lub aplikacjami. Najbardziej znanymi przykładami GPAI są duże modele językowe (np. GPT-4, Claude, Llama) oraz modele generujące obrazy (np. DALL-E, Midjourney).

Dostawcy modeli GPAI muszą spełnić szereg obowiązków, w tym:

- Przygotowanie szczegółowej dokumentacji technicznej

- Udostępnienie informacji umożliwiających dostawcom systemów AI integrację modelu

- Wdrożenie polityki zgodności z prawem autorskim UE, uwzględniającej m.in. prawo do rezygnacji z eksploracji tekstu i danych

- Opublikowanie kompleksowego podsumowania danych wykorzystanych do treningu modelu

Dodatkowe, jeszcze bardziej rygorystyczne wymogi dotyczą modeli GPAI o ryzyku systemowym, które są definiowane głównie na podstawie ilości obliczeń wykorzystanych w procesie treningu (powyżej 10^25 operacji zmiennoprzecinkowych). Dostawcy takich modeli muszą dodatkowo przeprowadzać ocenę modelu i testowanie adversarialne, oceniać i minimalizować potencjalne ryzyka systemowe, monitorować i raportować poważne incydenty oraz zapewnić odpowiedni poziom cyberbezpieczeństwa.

 Wymogi dotyczące znajomości AI (AI literacy)

 Jednym z pierwszych wymogów, który wszedł w życie już 2 lutego 2025 r., jest zapewnienie odpowiedniego poziomu znajomości AI wśród pracowników. AI Act zobowiązuje dostawców i wdrażających systemy AI do zadbania o to, by ich pracownicy oraz inne osoby zaangażowane w obsługę i użytkowanie systemów AI posiadali odpowiedni poziom wiedzy, umiejętności i zrozumienia tej technologii.

W praktyce oznacza to konieczność organizacji szkoleń i budowania świadomości na temat możliwości i ograniczeń systemów AI, a także potencjalnych zagrożeń związanych z ich wykorzystaniem. Programy szkoleniowe powinny być dostosowane do różnych grup pracowników, w zależności od ich roli w organizacji i stopnia interakcji z systemami AI.

Budowanie kompetencji w zakresie AI nie jest tylko formalnym wymogiem - to również inwestycja w bezpieczeństwo i efektywność wykorzystania tej technologii w biznesie. Pracownicy posiadający odpowiednią wiedzę będą potrafili lepiej nadzorować systemy AI, interpretować ich wyniki i identyfikować potencjalne problemy.

 Jak wdrożyć AI ACT w firmie?

 Pierwszym, fundamentalnym krokiem jest kompleksowy audyt wszystkich wykorzystywanych systemów AI. Przedsiębiorcy powinni zidentyfikować zarówno narzędzia wdrożone wewnętrznie, jak i zewnętrzne usługi oparte na sztucznej inteligencji. W przypadku narzędzi SaaS należy sprawdzić, czy i w jakim zakresie wykorzystują one mechanizmy AI. Popularni asystenci AI (tacy jak ChatGPT czy Claude), aplikacje do analizy danych czy systemy rekrutacyjne wykorzystujące AI również powinny zostać uwzględnione w inwentaryzacji.

Organizacje powinny utworzyć następnie rejestr systemów AI, dokumentując cel i zakres wykorzystania każdego rozwiązania, dostawcę, rodzaj przetwarzanych danych oraz wpływ na procesy biznesowe i podejmowane decyzje.

Niezbędne będzie także sklasyfikowanie systemów AI używanych w firmie zgodnie z wyodrębnionymi w rozporządzeniu stopniami ryzyka. Dodatkowo organizacje powinny zwrócić uwagę na modele AI ogólnego przeznaczenia (GPAI), jak duże modele językowe, które podlegają specjalnym regulacjom.

AI Act kładzie szczególny nacisk na nadzór ludzki nad systemami AI, przy czym nie chodzi wyłącznie o delegowanie pracownika do monitorowania systemu. Osoba sprawująca nadzór nad systemami AI powinna mieć odpowiednie kompetencje.

A na tym nie koniec. Przedsiębiorcy wdrażający systemy wysokiego ryzyka muszą zapewnić też min. skuteczne monitorowanie działania systemów, procedury reagowania na anomalie czy dokumentowania decyzji podejmowanych przez systemy AI.

 System monitorowania i raportowania incydentów

 AI Act wprowadza rygorystyczne wymogi dotyczące monitorowania systemów AI po wprowadzeniu na rynek, szczególnie dla systemów wysokiego ryzyka. Dostawcy muszą wdrożyć system monitorowania, który będzie aktywnie i systematycznie zbierał, dokumentował i analizował dane o funkcjonowaniu systemu AI w rzeczywistych warunkach.

Kluczowym elementem jest obowiązek raportowania poważnych incydentów. AI Act definiuje poważny incydent jako zdarzenie, które bezpośrednio lub pośrednio prowadzi do:

- śmierci lub poważnego uszczerbku na zdrowiu

- poważnego i nieodwracalnego zakłócenia zarządzania infrastrukturą krytyczną

- naruszenia praw podstawowych

- poważnej szkody dla mienia lub środowiska

 Obowiązek zgłaszania incydentów podlega bardzo rygorystycznym terminom:

- natychmiastowe zgłoszenie incydentów dotyczących infrastruktury krytycznej

- do 10 dni w przypadku incydentów powodujących śmierć

- do 15 dni w przypadku innych poważnych incydentów

System monitorowania powinien również umożliwiać prowadzenie analiz trendów i identyfikację potencjalnych problemów, zanim przerodzą się one w poważne incydenty. W praktyce oznacza to konieczność wdrożenia zaawansowanych narzędzi analitycznych i systemów alertowania

 Zarządzanie danymi i zapobieganie stronniczości

 Jednym z kluczowych wymogów AI Act dla systemów wysokiego ryzyka jest zapewnienie wysokiej jakości danych używanych do trenowania, walidacji i testowania systemów AI. Dane muszą być nie tylko odpowiedniej jakości, ale również reprezentatywne i wolne od systematycznych uprzedzeń (bias).

W praktyce oznacza to konieczność wdrożenia kompleksowego systemu zarządzania danymi, który obejmuje:

- Ocenę jakości i reprezentatywności danych przed ich wykorzystaniem

- Identyfikację i minimalizację potencjalnych uprzedzeń w danych

- Dokumentację zbiorów danych, w tym ich źródeł, charakterystyki i metod przetwarzania

- Regularne audyty danych pod kątem potencjalnych problemów

Szczególną uwagę należy zwrócić na dane dotyczące grup chronionych (np. ze względu na płeć, wiek, pochodzenie etniczne). System AI nie może systematycznie dyskryminować żadnej z tych grup, a dostawca musi wdrożyć odpowiednie mechanizmy zapobiegające takiej dyskryminacji.

Przykładowo, firma wykorzystująca system AI do wstępnej selekcji kandydatów musi zapewnić, że dane treningowe nie zawierają historycznych uprzedzeń, które mogłyby prowadzić do dyskryminacji określonych grup kandydatów. Wymaga to nie tylko starannego doboru danych, ale również ciągłego monitorowania działania systemu pod kątem potencjalnej stronniczości.

 Wykorzystaj piaskownice regulacyjne

 Co ciekawe AI Act przewiduje utworzenie tzw. "piaskownic regulacyjnych" - kontrolowanych środowisk umożliwiających testowanie innowacyjnych rozwiązań AI pod nadzorem organów regulacyjnych. Piaskownice regulacyjne mogą okazać się cennym narzędziem, zwłaszcza dla firm wprowadzających innowacyjne rozwiązania AI.

Będą one tworzone przez właściwe organy krajowe lub Europejski Urząd ds. Sztucznej Inteligencji. Ich głównym celem jest wspieranie innowacji przy jednoczesnym zapewnieniu zgodności z wymogami AI Act. W praktyce, piaskownice będą funkcjonować jako bezpieczne środowiska testowe, gdzie przedsiębiorcy mogą eksperymentować z nowymi rozwiązaniami AI bez ryzyka poniesienia pełnych konsekwencji regulacyjnych w przypadku niezamierzonych naruszeń. Firmy otrzymują tam wsparcie w zrozumieniu i wdrożeniu wymogów AI Act.

Piaskownice regulacyjne mogą okazać się szczególnie cennym narzędziem dla startupów i MŚP, które mają ograniczone zasoby na kompleksowe analizy zgodności. Uczestnictwo w takich programach może znacząco obniżyć bariery wejścia na rynek dla innowacyjnych rozwiązań AI, przy jednoczesnym zapewnieniu zgodności z europejskimi standardami.

 Podsumowanie

 Przedsiębiorcy, którzy proaktywnie podejdą do wdrożenia wymogów, nie tylko unikną potencjalnych kar, ale mogą zbudować przewagę konkurencyjną dzięki etycznemu i odpowiedzialnemu wykorzystaniu AI. Kary za naruszenie AI Act są zróżnicowane w zależności od charakteru naruszenia:

- Za naruszenie zakazu praktyk niedopuszczalnych - do 35 milionów euro lub 7% całkowitego rocznego światowego obrotu (w zależności od tego, która kwota jest wyższa)

- Za naruszenie wymogów dla systemów wysokiego ryzyka - do 15 milionów euro lub 3% rocznego światowego obrotu

- Za dostarczanie nieprawdziwych informacji organom - do 7,5 miliona euro lub 1% rocznego światowego obrotu

Dla małych i średnich przedsiębiorstw przewidziano złagodzenie kar - w ich przypadku kara będzie ograniczona do niższej z powyższych wartości, co stanowi istotną różnicę w porównaniu z dużymi podmiotami.

Proces dostosowania do AI Act powinien rozpocząć się już teraz, nawet jeśli niektóre wymogi będą obowiązywać dopiero za kilka lat. Systematyczne i metodyczne podejście pozwoli rozłożyć koszty i wysiłek organizacyjny, jednocześnie minimalizując ryzyko biznesowe związane z nowymi regulacjami.

Autor: Robert Nogacki, radca prawny, partner zarządzający w Kancelarii Prawnej Skarbiec, specjalizującej się w doradztwie prawnym, podatkowym oraz strategicznym dla przedsiębiorców, autor bloga: Sztuczna inteligencja okiem prawnika