Czym jest AI Act? Pierwsze na świecie prawo regulujące sztuczną inteligencję

Sztuczna inteligencja wchodzi w nasze życie szybciej niż zdążamy zadawać pytania. Kto za nią odpowiada? Co wolno, a czego nie? I kto nas chroni, gdy algorytm podejmuje decyzje zamiast człowieka? Na te pytania odpowiada AI Act – przełomowe unijne rozporządzenie, które na zawsze zmienia zasady gry w świecie technologii.

Co to właściwie jest AI Act?

AI Act (oficjalnie: Rozporządzenie Parlamentu Europejskiego i Rady UE 2024/1689) to pierwsze na świecie kompleksowe prawo regulujące sztuczną inteligencję. Unia Europejska przyjęła je w czerwcu 2024 roku, a w życie weszło 1 sierpnia 2024 roku. Bywa nazywane „konstytucją dla AI”. Nie bez powodu.

Przez dekady sztuczna inteligencja rozwijała się bez żadnych ram prawnych. Algorytmy decydowały o tym, kto dostanie kredyt, kogo zatrudni firma, a sędziom podpowiadały, jak ocenić ryzyko recydywy. Bez żadnej kontroli, bez przejrzystości, bez odpowiedzialności. AI Act ma to zmienić raz na zawsze.

Dokument liczy setki artykułów i załączników, ale jego podstawowa idea jest prosta: im większe ryzyko, tym surowsze zasady. Przepisy nie hamują innowacji tam, gdzie AI jest niegroźna, ale skupiają się na obszarach, gdzie błąd lub nadużycie mogą mieć poważne konsekwencje dla zwykłych ludzi.

Co ważne, jako unijne rozporządzenie AI Act obowiązuje bezpośrednio w Polsce i we wszystkich państwach członkowskich UE. Nie wymaga osobnej polskiej ustawy, żeby wejść w życie. Polska pracuje jednak nad dodatkową ustawą wykonawczą, która m.in. określi krajowy organ nadzoru (tzw. Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji). Projekt tej ustawy rząd przyjął 31 marca 2026 roku, obecnie jest procedowana w Sejmie.

Dlaczego w ogóle potrzebujemy takich przepisów?

Badania prowadzone m.in. w Stanach Zjednoczonych i Wielkiej Brytanii dokumentują przypadki algorytmów rekrutacyjnych, które odrzucały kandydatów na podstawie miejsca zamieszkania uznanego statystycznie za „nierokujące”, bez żadnej możliwości odwołania się czy uzyskania wyjaśnienia. Podobne problemy ujawniono w systemach oceny zdolności kredytowej: osoby dyskryminowane przez algorytm często nie wiedziały nawet, że to algorytm podjął decyzję w ich sprawie.

W obszarze medycznym głośnym przykładem jest system IBM Watson for Oncology, który w kilku szpitalach rekomendował schematy leczenia onkologicznego niezgodne z aktualną wiedzą kliniczną. Onkolodzy stosunkowo szybko wykryli błędy i zaprzestali stosowania systemu, ale przypadek ten odsłonił głębszy problem: kiedy lekarz ufa algorytmowi traktowanemu jako „czarna skrzynka”, trudno ocenić, na jakiej podstawie system wydał rekomendację i kto ponosi odpowiedzialność za ewentualne szkody.

Nie są to jednostkowe incydenty, to strukturalne ryzyko wynikające z braku regulacji. AI Act odpowiada na te problemy, wprowadzając obowiązki przejrzystości, dokumentacji i nadzoru ludzkiego tam, gdzie stawką jest zdrowie, wolność lub podstawowe prawa człowieka.

Cele rozporządzenia to: – zagwarantowanie wysokiego poziomu ochrony zdrowia, bezpieczeństwa i praw podstawowych obywateli – ograniczenie ryzyka nieuczciwych praktyk i manipulacji – stworzenie ram wspierających innowacyjność europejskich firm – zapewnienie pewności prawa – jednolitych reguł w całej Unii, bez chaosu różnych przepisów w 27 krajach

Cztery poziomy ryzyka — serce AI Act

Kluczową innowacją AI Act jest klasyfikacja systemów sztucznej inteligencji według poziomu ryzyka, które stwarzają. To podejście oparte na zdrowym rozsądku: filtr antyspamowy w poczcie e-mail i algorytm decydujący o zwolnieniu pracownika to zupełnie różne kategorie zagrożeń.

AI Act wyróżnia cztery poziomy:

1. Ryzyko niedopuszczalne: systemy zakazane

To najwyższa kategoria. Systemy AI zaliczone do tej grupy są całkowicie zakazane na terenie Unii Europejskiej. Nie ma wyjątków, nie ma okresu przejściowego — zakaz zaczął obowiązywać już 2 lutego 2025 roku.

Co konkretnie jest zabronione?

• Manipulacja podprogowa: systemy, które wpływają na nasze decyzje i zachowanie bez naszej świadomości, celowo omijając rozum i trafiając wprost w emocje lub instynkty
• Wykorzystywanie słabości: AI kierująca reklamy lub treści do osób starszych, dzieci lub osób w trudnej sytuacji życiowej w celu skłonienia ich do działań sprzecznych z ich interesem
• Social scoring: ocenianie obywateli przez algorytm na podstawie ich zachowania społecznego, przekonań czy cech osobistych (wzorem kontrowersyjnego systemu w Chinach)
• Prewencja kryminalna oparta na profilowaniu: przewidywanie przestępstw na podstawie cech osobowości lub przynależności do grupy, a nie konkretnych zachowań danej osoby
• Masowe pobieranie wizerunków twarzy z internetu lub kamer miejskich w celu tworzenia baz danych do rozpoznawania twarzy
• Rozpoznawanie emocji w miejscu pracy i szkołach: systemy analizujące, jak się czujesz, gdy pracujesz lub uczysz się
• Biometryczna identyfikacja w czasie rzeczywistym w przestrzeni publicznej: z bardzo wąskimi wyjątkami dla służb, i to pod ścisłą kontrolą

2. Wysokie ryzyko: systemy dozwolone, ale mocno regulowane

Systemy wysokiego ryzyka nie są zakazane, ale podlegają bardzo surowym wymaganiom. To właśnie ta kategoria jest sercem AI Act, większość przepisów dotyczy właśnie tych systemów.

Które obszary AI Act uznaje za wysokie ryzyko?

• Biometria (w zakresie dozwolonym prawem): systemy zdalnej identyfikacji biometrycznej
• Infrastruktura krytyczna: AI zarządzające sieciami energetycznymi, wodociągami, ruchem drogowym
• Edukacja: systemy oceniające uczniów i studentów, decydujące o dostępie do kształcenia
• Rynek pracy: algorytmy selekcji kandydatów do pracy, oceny pracowników, podejmowania decyzji o awansie lub zwolnieniu
• Usługi publiczne i świadczenia: AI oceniająca wnioski o zasiłki, pomoc społeczną, opiekę zdrowotną
• Wymiar sprawiedliwości: systemy wspomagające ocenę ryzyka recydywy, analizę dowodów
• Dostęp do usług finansowych: algorytmy oceny zdolności kredytowej, scoringowe
• Urządzenia medyczne: AI wspomagające diagnostykę lub leczenie

Co muszą spełniać dostawcy takich systemów? Między innymi: – prowadzić stały system zarządzania ryzykiem przez cały cykl życia systemu – dbać o jakość danych treningowych (brak błędów, reprezentatywność, brak dyskryminacji) – tworzyć szczegółową dokumentację techniczną – zapewnić możliwość ludzkiego nadzoru i interwencji – zarejestrować system w unijnej bazie danych przed wejściem na rynek

Pełne obowiązki dla systemów wysokiego ryzyka wchodzą w życie 2 sierpnia 2026 roku.

3. Ograniczone ryzyko: obowiązek przejrzystości

W tej kategorii nie ma rozbudowanych wymagań, ale jest jeden kluczowy obowiązek: mówić prawdę o tym, z czym użytkownik ma do czynienia.

Jeśli rozmawiasz z chatbotem, musisz o tym wiedzieć. Jeśli oglądasz obraz, nagranie lub tekst wygenerowany przez AI, musisz być o tym poinformowany. Deepfaki (realistyczne materiały fałszujące rzeczywistość) muszą być wyraźnie oznaczone.

Przykłady systemów z tej kategorii: – wirtualni asystenci i chatboty – generatory obrazów i wideo (np. AI-generated art) – modele językowe publikujące treści na tematy publiczne

Chodzi o prostą zasadę: masz prawo wiedzieć, czy rozmawiasz z człowiekiem, czy maszyną.

4. Minimalne ryzyko: brak szczególnych obowiązków

Zdecydowana większość systemów AI, które znamy z codziennego życia, należy właśnie do tej kategorii. Filtry antyspamowe, systemy rekomendacji muzyki, algorytmy w grach wideo, narzędzia do tłumaczenia tekstu – to wszystko minimalne ryzyko.

AI Act nie nakłada na nie żadnych obowiązkowych wymogów. Mogą jednak dobrowolnie stosować kodeksy dobrych praktyk i etyczne zasady projektowania AI.

AI ogólnego przeznaczenia (GPAI): osobna kategoria dla ChatGPT i podobnych

Rozporządzenie musiało zmierzyć się z nowym fenomenem: modelami, które nie robią jednej konkretnej rzeczy, ale potrafią niemal wszystko. Chodzi o duże modele językowe i inne systemy generatywne, które leżą u podstaw setek różnych aplikacji.

Dla tych modeli, zwanych w języku prawnym „AI ogólnego przeznaczenia” (GPAI, ang. General Purpose AI), AI Act wprowadza osobne zasady. Od sierpnia 2025 roku obowiązują m.in.: – wymogi przejrzystości wobec firm korzystających z tych modeli – obowiązek tworzenia dokumentacji technicznej – zasady dotyczące respektowania prawa autorskiego – dla modeli o największych możliwościach (tzw. ryzyko systemowe): dodatkowe oceny ryzyka i plany awaryjne

Jak to działa w praktyce, kto za co odpowiada?

AI Act rozróżnia kilka ról:

Dostawca (provider): firma lub osoba, która tworzy system AI i wprowadza go na rynek. Na nich spada największa odpowiedzialność.

Podmiot stosujący (deployer): firma lub instytucja, która korzysta z gotowego systemu AI w swojej działalności (np. bank używający algorytmu do oceny kredytowej).

Importer i dystrybutor: jeśli system AI pochodzi spoza UE, odpowiedzialność za jego zgodność z przepisami ponoszą podmioty wprowadzające go na europejski rynek.

Co ważne: AI Act dotyczy wszystkich, kto oferuje lub stosuje systemy AI na terenie UE, niezależnie od tego, czy firma ma siedzibę w Warszawie, Berlinie czy Dolinie Krzemowej. Jeśli twój produkt AI trafia do europejskich użytkowników, podlegasz europejskim przepisom.

Kary: surowe jak nigdy

AI Act przewiduje kary, które nawet dla gigantów technologicznych są odczuwalne:

Naruszenie	Maksymalna kara
Stosowanie zakazanych systemów AI	35 mln euro lub 7% rocznego obrotu (wyższa wartość)
Naruszenie wymogów dla systemów wysokiego ryzyka	15 mln euro lub 3% rocznego obrotu
Podawanie nieprawdziwych informacji organom nadzoru	7,5 mln euro lub 1% rocznego obrotu

To więcej niż kary RODO. Dla małych i średnich firm nawet środkowa stawka może oznaczać bankructwo. Ustawodawca celowo ustalił kary na wysokim poziomie. Mają skutecznie odstraszać.

Harmonogram wdrożenia. Co już obowiązuje, co dopiero nadejdzie?

AI Act nie wchodzi w życie jednym ruchem. Przepisy są wprowadzane etapami:

1 sierpnia 2024: rozporządzenie oficjalnie weszło w życie. Zaczął biec czas na dostosowanie.

2 lutego 2025: pierwszy etap: zakazy dotyczące systemów niedopuszczalnych zaczęły obowiązywać. Tego dnia stało się też jasne, że firmy muszą zadbać o „AI literacy”, czyli odpowiedni poziom wiedzy swoich pracowników na temat sztucznej inteligencji.

2 sierpnia 2025: drugi etap: przepisy dla modeli AI ogólnego przeznaczenia (GPAI), zasady dotyczące krajowych organów nadzoru i kary za naruszenia przepisów o zakazanych praktykach.

2 sierpnia 2026: trzeci, kluczowy etap: pełne wdrożenie przepisów dla systemów wysokiego ryzyka. To data, od której większość zasad AI Act zacznie obowiązywać w całości.

2 sierpnia 2027: koniec wdrożenia: przepisy dla systemów wysokiego ryzyka zintegrowanych z produktami objętymi osobnymi regulacjami sektorowymi (np. wyroby medyczne, pojazdy).

Co AI Act oznacza dla zwykłego człowieka?

Czy jako użytkownik AI w ogóle poczujesz różnicę? Tak. I to na kilka sposobów.

Prawo do informacji. Gdy rozmawiasz z chatbotem czy oglądasz wygenerowane przez AI zdjęcie – musisz o tym wiedzieć. Koniec z udawaniem, że algorytm to człowiek.

Prawo do wyjaśnienia. Jeśli algorytm podjął decyzję, która cię dotyczy (odmowa kredytu, odrzucenie aplikacji o pracę), masz prawo dowiedzieć się, dlaczego.

Ochrona przed manipulacją. Systemy zaprojektowane tak, żeby kierować twoimi decyzjami bez twojej wiedzy są zakazane.

Nadzór człowieka. W ważnych decyzjach np. medycznych, prawnych, finansowych AI nie może działać bez kontroli człowieka, który może zakwestionować lub zmienić decyzję algorytmu.

Ochrona danych biometrycznych. Twoja twarz, głos, sposób chodzenia, to dane szczególnie wrażliwe. AI Act nakłada na ich przetwarzanie surowe ograniczenia.

AI Act a Polska: co się dzieje u nas?

Polska, jak wszystkie kraje UE, jest bezpośrednio objęta AI Act bez potrzeby odrębnych ustaw. Jednak rozporządzenie wymaga, by każde państwo wyznaczyło krajowy organ nadzoru.

W Polsce ma nim zostać Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI), nowy organ, który będzie prowadzić postępowania w sprawie naruszeń i nakładać kary. Rząd przyjął projekt stosownej ustawy 31 marca 2026 roku, ustawa trafiła do Sejmu. Zgodnie z harmonogramem powinna zacząć obowiązywać do 2 sierpnia 2026 roku.

Czy AI Act zatrzyma innowacje?

To pytanie, które zadają sobie firmy technologiczne i startupy. Odpowiedź jest złożona.

Z jednej strony nowe przepisy oznaczają koszty: dokumentacja, oceny ryzyka, szkolenia, certyfikacje. Dla małych firm to realne obciążenie. Z drugiej, AI Act stwarza też szanse. Firma, która spełnia europejskie standardy, może łatwiej zdobyć zaufanie klientów. „Made in EU, AI Act compliant” może stać się znakiem jakości, tak jak certyfikaty bezpieczeństwa w innych branżach. Rozporządzenie przewiduje też tzw. piaskownice regulacyjne (regulatory sandboxes), specjalne strefy, gdzie startupy i małe firmy mogą testować innowacyjne rozwiązania AI pod nadzorem regulatora, z pewnymi uproszczeniami w wymogach. To ma właśnie pomagać innowatorom, nie hamować ich.

Podsumowanie: dlaczego AI Act ma znaczenie?

AI Act to więcej niż regulacja techniczna. To deklaracja wartości: że technologia ma służyć człowiekowi, nie odwrotnie. Że przejrzystość, bezpieczeństwo i odpowiedzialność nie są opcjonalne są fundamentem zaufania. Żyjemy w świecie, w którym AI podejmuje coraz więcej decyzji, które kiedyś były zarezerwowane wyłącznie dla ludzi. AI Act nie mówi, że to złe. Mówi tylko: jeśli algorytm decyduje o naszym życiu, musimy wiedzieć jak, musimy mieć na to wpływ i ktoś musi za to odpowiadać.

Źródła

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. (AI Act): pełny tekst rozporządzenia w Dzienniku Urzędowym UE https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32024R1689
2. Parlament Europejski: strona tematyczna poświęcona AI Act, historia prac legislacyjnych https://www.europarl.europa.eu/topics/pl/article/20230601STO93804/ustawa-o-sztucznej-inteligencji-ue-pierwsze-przepisy-dotyczace-ai
3. Komisja Europejska: serwis informacyjny poświęcony regulacjom AI, w tym AI Act https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
4. Ministerstwo Cyfryzacji RP: komunikat o przyjęciu projektu polskiej ustawy wdrażającej AI Act (31.03.2026) https://www.gov.pl/web/cyfryzacja/koniec-ery-nieuchwytnych-algorytmow–projekt-ustawy-o-systemach-sztucznej-inteligencji-przyjety-przez-rade-ministrow
5. ProPublica, Julia Angwin i in.:„Machine Bias: There’s Software Used Across the Country to Predict Future Criminals. And it’s Biased Against Blacks” (2016) — raport dokumentujący dyskryminacyjne działanie algorytmu COMPAS stosowanego w amerykańskich sądach https://www.propublica.org/article/machine-bias-risk-assessments-in-criminal-sentencing
6. STAT News, Casey Ross i Ike Swetlitz „IBM pitched its Watson supercomputer as a revolution in cancer care. It’s nowhere close” (2017) — analiza przypadku błędnych rekomendacji onkologicznych systemu IBM Watson for Oncology https://www.statnews.com/2017/09/05/watson-ibm-cancer/
7. Rada UE : prowizoryczne porozumienie polityczne w sprawie Digital Omnibus on AI (7 maja 2026 r.) — przesunięcie terminów dla systemów wysokiego ryzyka https://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/

Stan prawny: kwiecień 2026.