AI Act: Konstytucja Cyfrowej Europy
Przewodnik Strategiczny po Rozporządzeniu 2024/1689
Sztuczna inteligencja przestała być domeną wyłącznie inżynierów. Stała się domeną compliance, zarządzania ryzykiem i odpowiedzialności zarządczej.
AI Act (Akt o Sztucznej Inteligencji) to nie tylko zbiór zakazów. To kompleksowa architektura prawna, która redefiniuje sposób projektowania, wdrażania i monitorowania systemów IT w Unii Europejskiej. Rozporządzenie wprowadza podejście oparte na ryzyku (risk-based approach): im większy wpływ technologii na życie, zdrowie i prawa człowieka, tym bardziej rygorystyczne wymogi musi spełnić operator systemu.
Poniżej prezentujemy kluczowe filary regulacji, zidentyfikowane przez ekspertów ISCA jako krytyczne dla ciągłości działania biznesu i administracji w Polsce.
I. KLASYFIKACJA I ZAKAZY (Piramida Ryzyka)
Fundamentem AI Act jest prawidłowa kategoryzacja systemu. Błąd na tym etapie skutkuje albo niepotrzebnymi kosztami (nadmierna ostrożność), albo naruszeniem prawa (zignorowanie wymogów dla systemów krytycznych).
- Systemy Zakazane (Art. 5): Katalog praktyk uznanych za niedopuszczalne w UE (m.in. scoring społeczny, manipulacja kognitywna, nieukierunkowany scraping twarzy z internetu).
- Systemy Wysokiego Ryzyka (High-Risk): Serce regulacji. Obejmuje m.in. AI w infrastrukturze krytycznej, HR, edukacji, wymiarze sprawiedliwości oraz systemy kredytowe.
- Systemy Minimalnego Ryzyka: Większość rozwiązań rynkowych (gry, filtry spamu), które nie wymagają nowych procedur, lecz jedynie dobrowolnych Kodeksów Postępowania.
[CZYTAJ WIĘCEJ: JAK SKLASYFIKOWAĆ SWÓJ SYSTEM? >]
II. OBOWIĄZKI DLA SYSTEMÓW „HIGH-RISK” (Compliance Core)
Podmioty będące dostawcami (Providers) lub wdrażającymi (Deployers) systemy Wysokiego Ryzyka stają przed wyzwaniem wdrożenia procesów na poziomie bankowym. To nie są zalecenia – to twarde wymogi dopuszczenia produktu do obrotu (oznakowanie CE).
- System Zarządzania Rykiem (Risk Management System): Ciągły, iteracyjny proces identyfikacji i mitygacji zagrożeń przez cały cykl życia systemu.
- Data Governance: Rygorystyczne wymogi dotyczące jakości danych treningowych, walidacyjnych i testowych, aby uniknąć błędów i dyskryminacji (bias).
- Dokumentacja Techniczna i Rejestracja: Obowiązek wpisu do unijnej bazy danych oraz utrzymywania pełnej śladowości działania algorytmu (logging).
[CZYTAJ WIĘCEJ: LISTA KONTROLNA DLA SYSTEMÓW WYSOKIEGO RYZYKA >]
III. GENERAL PURPOSE AI (Modele GPAI i GenAI)
Rewolucja Generatywnej AI wymusiła na legislatorze dodanie specjalnego reżimu dla potężnych modeli ogólnego przeznaczenia (takich jak GPT, Claude czy Llama). Przepisy te dotyczą twórców modeli fundamentowych.
- Ryzyko Systemowe: Modele o mocy obliczeniowej powyżej $10^{25}$ FLOPs podlegają dodatkowym rygorom, w tym audytom bezpieczeństwa (Red Teaming) i raportowaniu incydentów do Biura ds. AI.
- Prawa Autorskie: Obowiązek publikowania szczegółowych podsumowań danych użytych do trenowania modelu, co otwiera drogę do roszczeń dla twórców treści.
- Transparentność: Każdy wygenerowany tekst, obraz czy dźwięk (Deepfake) musi być maszynowo oznaczalny jako wytwór sztucznej inteligencji.
👉 [CZYTAJ WIĘCEJ: WPŁYW AI ACT NA LLM I GENERATIVE AI >]
IV. PRAWA PODSTAWOWE I NADZÓR LUDZKI (Human-Centric AI)
Technologia ma służyć człowiekowi, a nie go kontrolować. AI Act wprowadza szereg bezpieczników chroniących obywateli przed arbitralnymi decyzjami maszyn.
- FRIA (Fundamental Rights Impact Assessment): Nowy, obowiązkowy audyt dla podmiotów stosujących AI (np. banków, szpitali, urzędów), oceniający wpływ wdrożenia na prawa człowieka.
- Human Oversight (Art. 14): Systemy muszą być projektowane tak, aby człowiek mógł je skutecznie nadzorować, interpretować ich wyniki, a w razie awarii – zatrzymać („Kill Switch”).
- Wyjaśnialność (XAI): Prawo obywatela do uzyskania wyjaśnienia decyzji podjętej przez algorytm.
[CZYTAJ WIĘCEJ: PROCEDURA FRIA I ETYKA W PRAKTYCE >]
V. SYSTEM NADZORU I SANKCJE (Enforcement)
Egzekwowanie przepisów zostało powierzone nowo powołanym organom na szczeblu unijnym i krajowym.
- AI Office (Bruksela): Unijne Biuro ds. AI nadzoruje największe modele GPAI.
- Organy Krajowe (NCA): W Polsce wyznaczony organ (np. KNF, UODO lub nowy podmiot) będzie kontrolował rynek lokalny.
- Sankcje Finansowe: Kary są drakońskie i sięgają:
- Do 35 mln EUR lub 7% światowego obrotu za stosowanie systemów zakazanych.
- Do 15 mln EUR lub 3% obrotu za naruszenie obowiązków High-Risk.
[CZYTAJ WIĘCEJ: JAK UNIKNĄĆ KAR? AUDYT „ZERO” >]
VI. KALENDARZ TRANSPOZYCJI (Timeline)
Rozporządzenie weszło w życie w połowie 2024 roku, ale obowiązki są wdrażane kaskadowo. Czasu jest mniej, niż się wydaje.
- 6 miesięcy (Luty 2025): Wchodzą w życie przepisy dotyczące Systemów Zakazanych. Konieczność natychmiastowego wygaszenia niedozwolonych praktyk.
- 12 miesięcy (Sierpień 2025): Pełne obowiązki dla modeli GPAI oraz organów notyfikujących.
- 24 miesiące (Sierpień 2026): Pełne stosowanie przepisów dla systemów Wysokiego Ryzyka (Załącznik III).
- 36 miesięcy (Sierpień 2027): Obowiązki dla systemów będących komponentami produktów regulowanych (np. windy, maszyny, zabawki).
[ZOBACZ PEŁNĄ MAPĘ DROGOWĄ WDROŻENIA >]
Ekspertyza ISCA
Rozporządzenie jest skomplikowane, ale jego cel jest prosty: bezpieczeństwo. Instytut Standardów i Certyfikacji AI pomaga organizacjom przejść przez ten proces – od wstępnej analizy luki (Gap Analysis), przez ocenę FRIA, aż po przygotowanie do certyfikacji.
Nie czekaj na 2026 rok. Bezpieczeństwo buduje się dzisiaj.