EU AI Act 2025: Wszystko, co musisz wiedzieć, aby być na bieżąco

Wprowadzenie i przegląd legislacyjny

Akt o Sztucznej Inteligencji Unii Europejskiej (EU AI Act) to pierwsze na świecie kompleksowe ramy regulujące AI, mające na celu zapewnienie godnej zaufania sztucznej inteligencji, która respektuje bezpieczeństwo, prawa podstawowe oraz wartości społeczne digital-strategy.ec.europa.eu. Prawo to zostało zaproponowane przez Komisję Europejską w kwietniu 2021 roku, a po długotrwałych negocjacjach oficjalnie przyjęte w połowie 2024 roku europarl.europa.eu europarl.europa.eu. Akt wprowadza podejście oparte na ocenie ryzyka do zarządzania AI, nakładając obowiązki proporcjonalne do potencjału systemu AI do wyrządzenia szkody artificialintelligenceact.eu.

Harmonogram legislacyjny: Kluczowe etapy to m.in. zatwierdzenie aktu przez Parlament Europejski w latach 2023–2024 oraz oficjalna publikacja 12 lipca 2024, która spowodowała wejście aktu w życie 1 sierpnia 2024 artificialintelligenceact.eu artificialintelligenceact.eu. Jednakże, jego zapisy będą wprowadzane stopniowo w kolejnych latach:

2 lutego 2025: Zakaz systemów AI o niedopuszczalnym ryzyku. Wszystkie praktyki AI uznane za „niedopuszczalne ryzyko” (patrz niżej) stają się od tego dnia zabronione europarl.europa.eu. Państwa członkowskie UE rozpoczęły również wdrażanie programów podnoszących świadomość społeczną na temat AI artificialintelligenceact.eu.
2 sierpnia 2025: Wchodzą w życie zasady przejrzystości i nadzoru. Nowe zasady dotyczące modeli ogólnego przeznaczenia (tzw. foundation models) oraz organów nadzoru nad AI zaczynają obowiązywać artificialintelligenceact.eu digital-strategy.ec.europa.eu. Na poziomie UE powstaje AI Office (wyjaśnione dalej), a od tej daty mogą być nakładane kary za niestosowanie się do przepisów orrick.com orrick.com.
2 sierpnia 2026: Pełne stosowanie kluczowych wymagań. Większość obowiązków wynikających z AI Act – zwłaszcza przy wdrażaniu systemów AI wysokiego ryzyka – staje się obowiązkowa 24 miesiące po wejściu aktu w życie digital-strategy.ec.europa.eu. Od tej daty dostawcy nowych systemów wysokiego ryzyka muszą działać zgodnie z aktem przed wprowadzeniem produktów na rynek UE.
2 sierpnia 2027: Koniec wydłużonych terminów. Niektóre systemy AI zintegrowane z regulowanymi produktami (np. urządzenia medyczne wykorzystujące AI) mają dłuższy okres przejściowy (36 miesięcy), aż do 2027 roku, by dostosować się do przepisów digital-strategy.ec.europa.eu. Ponadto, dostawcy istniejących modeli ogólnego przeznaczenia (wprowadzonych na rynek przed sierpniem 2025) muszą zaktualizować je do wymagań AI Act do 2027 roku artificialintelligenceact.eu.

Stopniowy harmonogram daje organizacjom czas na dostosowanie się, podczas gdy wczesne działania (jak zakaz szkodliwego wykorzystania AI) adresują najpoważniejsze zagrożenia bez zbędnej zwłoki europarl.europa.eu. Dalej omówimy system klasyfikacji ryzyka oraz jego konsekwencje dla interesariuszy AI.

Klasyfikacja oparta na ryzyku: niedopuszczalne, wysokie, ograniczone i minimalne ryzyko

Zgodnie z aktem AI UE, każdy system AI jest klasyfikowany pod kątem poziomu ryzyka, co decyduje o zakresie regulacji artificialintelligenceact.eu. Cztery poziomy ryzyka to:

Niedopuszczalne ryzyko: Zastosowania AI, które stanowią wyraźne zagrożenie dla bezpieczeństwa lub praw podstawowych, są całkowicie zakazane w UE digital-strategy.ec.europa.eu. Ustawa wyraźnie zabrania ośmiu praktyk, w tym: AI wykorzystującej techniki podprogowe lub manipulacyjne powodujące szkodę, wykorzystującej w szkodliwy sposób grupy wrażliwe (jak dzieci czy osoby z niepełnosprawnościami), państwowego „społecznego oceniania” obywateli oraz niektórych narzędzi predykcji przestępczości artificialintelligenceact.eu artificialintelligenceact.eu. W szczególności zdalna, biometryczna identyfikacja w czasie rzeczywistym (np. rozpoznawanie twarzy na żywo w przestrzeni publicznej) na potrzeby organów ścigania jest zasadniczo zabroniona digital-strategy.ec.europa.eu. Istnieją jednak ograniczone wyjątki – np. policja może użyć rozpoznawania twarzy w czasie rzeczywistym w celu zapobieżenia grożącemu atakowi terrorystycznemu lub odnalezienia zaginionego dziecka, ale wyłącznie za zgodą sądu i pod ścisłym nadzorem europarl.europa.eu. W istocie każdy system AI, którego samo zastosowanie uznaje się za niezgodne z wartościami UE (np. scoring społeczny lub AI bezpodstawnie prognozująca zachowania przestępcze), nie może być wdrażany digital-strategy.ec.europa.eu.
Wysokie ryzyko: Systemy AI, które niosą poważne ryzyko dla zdrowia, bezpieczeństwa lub praw podstawowych zalicza się do kategorii wysokiego ryzyka. Są one dozwolone na rynku wyłącznie pod warunkiem wdrożenia szerokich zabezpieczeń. Przypadki wysokiego ryzyka określono dwojako: (1) AI stanowiąca część systemów bezpieczeństwa regulowanych już przez prawo UE (np. AI w urządzeniach medycznych, samochodach, lotnictwie) artificialintelligenceact.eu; lub (2) zastosowania AI w określonych dziedzinach wskazanych w Aneksie III aktu artificialintelligenceact.eu. Aneks III obejmuje m.in.: infrastrukturę krytyczną, edukację, rynek pracy, usługi kluczowe, organy ścigania, kontrolę granic i wymiar sprawiedliwości europarl.europa.eu europarl.europa.eu. Przykładowo, AI wykorzystywana w edukacji (np. ocena egzaminów lub decyzje o przyjęciu do szkoły) uznana jest za wysokie ryzyko, ze względu na wpływ na życiowe szanse digital-strategy.ec.europa.eu. Podobnie, AI wykorzystywane do rekrutacji lub zarządzania pracownikami (jak narzędzia do analizy CV) czy systémy oceny zdolności kredytowej również zaliczają się do wysokiego ryzyka digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Nawet robot chirurgiczny czy narzędzie diagnostyczne oparte na AI w medycynie stanowią wysokie ryzyko, ponieważ awarie mogą zagrozić pacjentom digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. AI wysokiego ryzyka podlega ścisłej regulacji – zanim system zostanie wdrożony, dostawca musi wdrożyć rygorystyczne zarządzanie ryzykiem i przejść ocenę zgodności (szczegóły w następnej części) cimplifi.com. Wszystkie systemy AI wysokiego ryzyka będą także rejestrowane w unijnej bazie danych dla przejrzystości i nadzoru cimplifi.com. Istotne jest, że akt przewiduje wąskie wykluczenia, więc nie każde trywialne użycie AI w tych dziedzinach podlega rygorowi – np. jeśli AI jedynie wspomaga decyzję człowieka lub wykonuje nieistotny podproces, może nie zostać uznana za wysokie ryzyko artificialintelligenceact.eu. Zasadą jednak jest, że każda AI wykonująca wrażliwe zadania w tych sektorach traktowana jest jako wysokiego ryzyka i musi spełniać surowe wymagania zgodności.
Ograniczone ryzyko: Ta kategoria obejmuje systemy AI, które nie są wysokiego ryzyka, ale wymagają pewnych wymogów przejrzystości artificialintelligenceact.eu. Akt nie nakłada na te systemy surowych restrykcji, poza obowiązkiem jasnego informowania o użyciu AI. Na przykład czatboty czy wirtualni asystenci muszą wyraźnie informować użytkownika, że nie rozmawia z człowiekiem, lecz maszyną digital-strategy.ec.europa.eu. Podobnie generatywne AI tworzące syntetyczne obrazy, wideo czy dźwięk (np. deepfake’i) muszą wyraźnie oznaczać treści wygenerowane przez AI – np. za pomocą znaku wodnego czy etykiety – tak, by odbiorcy nie byli wprowadzeni w błąd europarl.europa.eu digital-strategy.ec.europa.eu. Celem jest utrzymanie zaufania użytkowników dzięki przejrzystości. Poza obowiązkiem informacyjnym, AI o ograniczonym ryzyku można swobodnie stosować bez dodatkowych wymogów. Ustawa zasadniczo traktuje większość narzędzi konsumenckich opartych na AI jako ograniczonego ryzyka, gdzie główny obowiązek to informowanie użytkownika. Przykład: AI, które zmienia głos lub generuje realistyczny obraz – nie jest zakazane, ale musi być wyraźnie oznaczone jako treść wygenerowana przez AI, aby nie doszło do oszustwa europarl.europa.eu.
Minimalne (lub żadne) ryzyko: Wszystkie pozostałe systemy AI należą do tej najniższej kategorii, która stanowi zdecydowaną większość zastosowań AI. Te systemy niosą znikome lub rutynowe ryzyko i nie podlegają żadnym nowym obowiązkom regulacyjnym na mocy AI Act artificialintelligenceact.eu digital-strategy.ec.europa.eu. Powszechne przykłady to filtry antyspamowe oparte na AI, algorytmy rekomendacji, AI w grach komputerowych lub proste narzędzia wbudowane w oprogramowanie. W ich przypadku regulacja pozostaje „niewidzialna” – można je rozwijać i stosować jak dotychczas, na podstawie istniejącego prawa (np. ochrony konsumentów czy prywatności), bez dodatkowych wymagań związanych stricte z AI. UE wyraźnie przyznaje, że większość obecnie używanych systemów AI to systemy niskiego ryzyka i nie powinny być nadmiernie regulowane digital-strategy.ec.europa.eu. Regulacja koncentruje się na przypadkach wyjątkowych (wysokie i niedopuszczalne ryzyko), podczas gdy AI o minimalnym ryzyku pozostaje nieobciążona regulacyjnie, co sprzyja innowacjom w tym obszarze.

Podsumowując, model UE oparty na ocenie ryzyka zakazuje najgorszych praktyk AI z góry, ściśle reguluje wrażliwe zastosowania AI, a jedynie w niewielkim stopniu dotyczy pozostałych cimplifi.com. Podejście warstwowe ma chronić obywateli przed szkodą, jednocześnie unikając modelu „jeden rozmiar dla wszystkich” dla całej AI. W kolejnej części przyjrzymy się wymaganiom zgodności, szczególnie w przypadku AI wysokiego ryzyka.

Obowiązki dla twórców (dostawców) i wdrażających (użytkowników) AI

Wymagania zgodności dla wysokiego ryzyka AI: Jeśli opracowujesz system AI uznany za wysokiego ryzyka, Akt AI UE nakłada szczegółową listę obowiązków przed i po wprowadzeniu go na rynek. W zasadzie odzwierciedlają one praktyki z branż krytycznych dla bezpieczeństwa i ochrony danych, teraz zastosowane do AI. Dostawcy (twórcy, którzy wprowadzają system na rynek) AI wysokiego ryzyka muszą między innymi:

Wdrożenie systemu zarządzania ryzykiem: Potrzebny jest ciągły proces zarządzania ryzykiem przez cały cykl życia systemu AI artificialintelligenceact.eu. Oznacza to identyfikowanie przewidywalnych zagrożeń (np. ryzyka dla bezpieczeństwa, ryzyka błędu lub uprzedzeń), ich analizę i ocenę oraz podejmowanie środków łagodzących od projektowania aż po wdrożenie artificialintelligenceact.eu. To podejście analogiczne do „bezpieczeństwa poprzez projektowanie” – przewidywanie potencjalnych awarii lub szkód spowodowanych przez AI i przeciwdziałanie im na wczesnym etapie.
Zapewnienie wysokiej jakości danych i zarządzania danymi: Dane do trenowania, walidacji i testowania powinny być odpowiednie, reprezentatywne i wolne od błędów lub uprzedzeń „w miarę możliwości” artificialintelligenceact.eu. Akt szczególnie podkreśla unikanie dyskryminujących wyników, więc dostawcy muszą analizować swoje dane pod kątem nierównowag lub błędów mogących prowadzić do niesprawiedliwego traktowania osób przez AI digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Przykładowo, jeśli tworzymy AI do rekrutacji, dane do trenowania powinny być sprawdzone pod kątem odzwierciedlania dawnych uprzedzeń płciowych czy rasowych w zatrudnianiu. Zarządzanie danymi obejmuje również śledzenie pochodzenia i przetwarzania danych, tak by można było audytować oraz analizować skuteczność AI.
Dokumentacja techniczna i prowadzenie rejestru: Twórcy muszą przygotować obszerną dokumentację techniczną wykazującą zgodność systemu AI artificialintelligenceact.eu. Dokumentacja ta powinna opisywać zamierzony cel systemu, projekt, architekturę, algorytmy, dane do trenowania i wdrożone środki kontroli ryzyka artificialintelligenceact.eu. Musi być wystarczająca, by organy nadzoru mogły ocenić, jak działa system i czy spełnia wymagania Aktu. Dodatkowo systemy AI wysokiego ryzyka muszą być zaprojektowane do logowania swoich operacji – czyli automatycznego zapisywania zdarzeń lub decyzji, by umożliwić analizę i audyt artificialintelligenceact.eu digital-strategy.ec.europa.eu. Na przykład system AI decydujący o udzieleniu kredytu może zapisywać wejścia i podstawę każdej decyzji. Taki rejestr pozwala wykrywać błędy lub uprzedzenia i jest kluczowy w razie incydentu lub postępowania wyjaśniającego.
Nadzór człowieka i jasne instrukcje: Dostawcy muszą zbudować system w taki sposób, by umożliwić skuteczny nadzór człowieka przez użytkownika lub operatora artificialintelligenceact.eu. Może to oznaczać funkcje lub narzędzia do interwencji lub monitorowania działania AI przez człowieka. Dostawca musi też przekazać szczegółowe instrukcje obsługi wdrażającemu artificialintelligenceact.eu. Instrukcje powinny wyjaśniać sposób prawidłowej instalacji i eksploatacji AI, jej ograniczenia, oczekiwany poziom dokładności, niezbędne środki nadzoru człowieka oraz ryzyka niewłaściwego użycia artificialintelligenceact.eu. Chodzi o to, aby podmiot używający AI (wdrażający) mógł faktycznie nadzorować i kontrolować ją — tylko jeśli twórca dostarczy mu wiedzę i narzędzia. Przykład: producent narzędzia diagnostycznego AI dla zdrowia musi poinstruować szpital jak interpretować wyniki i kiedy lekarz powinien zweryfikować rezultat.
Wydajność, odporność i cyberbezpieczeństwo: Systemy AI wysokiego ryzyka muszą osiągać odpowiedni poziom dokładności, odporności i cyberbezpieczeństwa zgodnie z ich przeznaczeniem artificialintelligenceact.eu. Dostawcy powinni testować i optymalizować swoje modele, by ograniczyć błędne wyniki i nieprzewidywalne zachowanie. Potrzebne są również zabezpieczenia przed manipulacją czy atakami hakerskimi (cyberbezpieczeństwo), bo przejęta AI może być niebezpieczna (wyobraźmy sobie np. atak na system AI zarządzający ruchem drogowym). Praktyka obejmuje testy obciążeniowe AI i sprawdzanie, czy radzi sobie z różnym wejściem bez poważnych awarii artificialintelligenceact.eu. Wszelkie znane ograniczenia (np. spadek dokładności przy niektórych populacjach czy scenariuszach) należy dokumentować i w miarę możliwości ograniczać.
System zarządzania jakością: Spajając powyższe wymogi, dostawcy powinni wdrożyć system zarządzania jakością artificialintelligenceact.eu. Jest to formalny, organizacyjny proces zapewniający ciągłą zgodność — analogiczny do standardów jakości ISO — obejmujący wszystko od procedur podczas rozwoju po obsługę incydentów i aktualizacje. Instytucjonalizuje zgodność, tak by budowanie bezpiecznej, zgodnej z prawem AI nie było jednorazowe, lecz stałą praktyką dostawcy.

Zanim system AI wysokiego ryzyka zostanie wprowadzony na rynek w UE, dostawca musi przejść ocenę zgodności, by potwierdzić spełnienie wszystkich wymagań. Na wiele z tych systemów nałożony będzie samoocena, polegająca na samodzielnym sprawdzeniu zgodności i wydaniu deklaracji zgodności UE. Jeśli jednak AI wchodzi w skład produktu podlegającego odrębnym przepisom (np. urządzenie medyczne lub samochód), jednostka notyfikowana (niezależny podmiot trzeciej strony) może być wymagana do certyfikacji zgodności AI, zgodnie z obowiązującymi przepisami dla produktu cimplifi.com. W każdym przypadku zgodne systemy AI będą oznakowane znakiem CE, potwierdzającym, że spełniają standardy UE, i będą wpisane do unijnej bazy danych systemów AI wysokiego ryzyka cimplifi.com. Ta baza zapewni przejrzystość — organy i obywatele będą mogli sprawdzić, jakie systemy AI wysokiego ryzyka są używane i kto za nie odpowiada.

Obowiązki wdrażających (użytkowników): Akt nakłada też wymagania na użytkowników lub operatorów wdrażających systemy AI wysokiego ryzyka w działalności zawodowej. (Chodzi o firmy lub organy używające AI, a nie użytkowników końcowych czy konsumentów.) Kluczowe zadania wdrażających to: stosowanie się do instrukcji twórcy, zapewnienie wskazanego nadzoru człowieka oraz monitorowanie wydajności AI w realnym zastosowaniu digital-strategy.ec.europa.eu. Jeśli wdrażający zauważy nieoczekiwane funkcjonowanie AI lub ryzyka dla bezpieczeństwa, powinien podjąć działania (nawet wstrzymać użycie) i poinformować dostawcę oraz organy. Wdrażający muszą także prowadzić logi podczas pracy AI (dokumentując jej wyniki i decyzje — jako uzupełnienie logowania przez AI) oraz zgłaszać poważne incydenty lub awarie odpowiednim organom artificialintelligenceact.eu. Przykład: szpital korzystający z narzędzia diagnostycznego AI powinien zgłosić przypadek, gdy AI doprowadziło do błędnej diagnozy i szkody pacjenta. Obowiązki użytkownika zapewniają ciągły nadzór po wdrożeniu — AI nie działa „na wolności”, lecz jest stale monitorowana przez człowieka, a informacje zwrotne trafiają do twórcy i organów nadzoru.

Warto podkreślić, że mali użytkownicy (np. małe firmy) nie są zwolnieni z tych obowiązków, jeśli wdrażają AI wysokiego ryzyka, ale autorzy Aktu przewidzieli, że dokumentacja i wsparcie dostawców mają uczynić zgodność realnie możliwą. Akt odróżnia też użytkowników od osób dotkniętych — ci drudzy (np. konsument odrzucony na podstawie decyzji AI) nie mają obowiązków na mocy Aktu, ale mają prawa, w tym do składania skarg na wadliwe systemy AI europarl.europa.eu.

Wymogi przejrzystości (poza systemami wysokiego ryzyka): Poza systemami wysokiego ryzyka, Akt o Sztucznej Inteligencji narzuca określone środki przejrzystości dla wybranych systemów AI, niezależnie od poziomu ryzyka. Wspomnieliśmy o nich przy “ryzyku ograniczonym”. W praktyce każdy system AI, który wchodzi w interakcje z ludźmi, generuje treści lub monitoruje ludzi, musi zamieszczać odpowiednią informację:

Systemy AI, które wchodzą w interakcje z ludźmi (np. chatboty czy asystenci AI) muszą poinformować użytkownika, że są AI. Przykładowo, internetowy chatbot obsługi klienta powinien jednoznacznie wskazać, że jest automatem, aby użytkownicy nie byli wprowadzani w błąd, myśląc że rozmawiają z człowiekiem digital-strategy.ec.europa.eu.
AI generująca lub modyfikująca treści (obrazy, wideo, audio lub tekst) w sposób, który może wprowadzać w błąd, musi zapewnić, że treść jest oznaczona jako wygenerowana przez AI digital-strategy.ec.europa.eu. Deepfake’i to kluczowy przykład: jeśli AI tworzy realistyczny obraz lub wideo z czyimś udziałem, a taka osoba faktycznie nie zrobiła lub nie powiedziała tego, co widzimy — media wygenerowane przez AI muszą być odpowiednio oznaczone (chyba że są użyte w satyrze, sztuce lub do badań nad bezpieczeństwem, co może stanowić wyjątek). Celem jest walka z oszustwami i dezinformacją poprzez ujawnianie źródła materiału.
Systemy AI wykorzystywane do biometrycznego nadzoru (jak kamery z rozpoznawaniem twarzy) lub rozpoznawania emocji muszą, tam gdzie to możliwe, poinformować ludzi o swoim działaniu. (Jak wskazano wcześniej, wiele takich zastosowań jest całkowicie zakazanych lub stanowi zastosowanie wysokiego ryzyka ze ścisłymi warunkami).
Modele generatywne AI (często zwane modelami bazowymi, jak duże modele językowe typu ChatGPT) podlegają niektórym specjalnym wymogom przejrzystości i informacyjnym. Nawet jeśli model generatywny nie jest sklasyfikowany jako wysokiego ryzyka, dostawca musi ujawniać określone informacje: na przykład zaznaczać treści wygenerowane przez AI oraz publikować podsumowanie danych objętych prawem autorskim użytych do trenowania modelu europarl.europa.eu. Ma to informować użytkowników i twórców o potencjalnych prawach własności intelektualnej w zbiorze uczącym oraz zapewnić zgodność z unijnymi przepisami dot. praw autorskich europarl.europa.eu. Dostawcy modeli generatywnych muszą także przeciwdziałać generowaniu treści nielegalnych, np. poprzez wbudowanie filtrów lub zabezpieczeń w modelu europarl.europa.eu.

W skrócie: przejrzystość to motyw przewodni Aktu o SI – niezależnie czy mowa o systemach wysokiego ryzyka (wymagających szczegółowej dokumentacji i informacji dla użytkownika), czy prostym chatbotcie o niskim poziomie ryzyka (“Jestem AI”) — ideą jest “oświetlenie” czarnych skrzynek SI. Ma to nie tylko wzmacniać użytkowników i osoby, których SI dotyczy, ale również ułatwiać rozliczalność: gdy coś pójdzie nie tak, będzie ślad dokumentujący założenia i sposób wytworzenia SI.

SI ogólnego przeznaczenia (modele bazowe): Znaczącą nowością w ostatecznej wersji Aktu jest zestaw przepisów dla SI ogólnego przeznaczenia (GPAI) – to szerokie modele SI trenowane na ogromnych danych (często przez samouczenie), które można dostosowywać do wielu różnych celów artificialintelligenceact.eu. Przykładami są duże modele językowe, generatory obrazów, czy inne „modele bazowe”, które firmy technologiczne budują, a potem umożliwiają innym korzystanie z nich lub ich dalsze dostrajanie. Akt uznaje, że choć takie modele nie są od razu powiązane z jednym zastosowaniem wysokiego ryzyka, mogą później być używane w takich systemach lub wywierać systemowy wpływ. W związku z tym Akt nakłada obowiązki na dostawców modeli GPAI, nawet jeśli same modele nie trafiły jeszcze do produktu konsumenckiego.

Wszyscy dostawcy modeli GPAI muszą opublikować dokumentację techniczną swojego modelu (opisującą proces powstawania i możliwości) oraz przekazywać instrukcje wszystkim deweloperom korzystającym z ich modelu, jak zgodnie z prawem go wykorzystywać artificialintelligenceact.eu artificialintelligenceact.eu. Muszą także szanować prawa autorskie — ich dane treningowe muszą być zgodne z przepisami unijnymi — a także publikować podsumowanie danych użytych do trenowania (przynajmniej wysokopoziomowy przegląd źródeł) artificialintelligenceact.eu. Te obowiązki mają na celu wprowadzenie przejrzystości do obecnie niejasnego świata dużych modeli SI.

Co istotne, Akt rozróżnia modele własnościowe i publikowane jako otwarty kod źródłowy. Dostawcy otwartych modeli GPAI (gdzie wagi i kod modelu są publicznie dostępne) mają łagodniejsze obowiązki: muszą wykonać tylko kroki związane z prawami autorskimi i przejrzystością danych treningowych, nie zaś pełną dokumentację techniczną lub instrukcje użytkowania — chyba że ich model stanowi “ryzyko systemowe” artificialintelligenceact.eu. To wyłączenie ma służyć temu, by nie tłumić otwartych innowacji i badań. Jednakże, jeśli otwarty model jest niezwykle zaawansowany i może mieć ogromny wpływ, nie ucieknie spod nadzoru tylko dzięki otwartej licencji.

Akt definiuje „modele GPAI o ryzyku systemowym” jako takie bardzo zaawansowane modele, które mogą powodować szeroko zakrojone skutki społeczne. Jednym z kryteriów jest, czy trening modelu wymagał ponad 10^25 operacji obliczeniowych (FLOPs) — to miernik pozwalający wskazać tylko najzasobniejsze i najpotężniejsze modele artificialintelligenceact.eu. Dostawcy takich modeli wysokiego wpływu muszą przeprowadzać dodatkowe ewaluacje i testy (również testy odporności na ataki, wykrywające podatności) oraz aktywnie łagodzić wszelkie zidentyfikowane ryzyka systemowe artificialintelligenceact.eu. Muszą także zgłaszać poważne incydenty z udziałem ich modelu do Europejskiego Biura ds. SI i władz państwowych oraz zapewniać wysokie standardy cyberbezpieczeństwa modelu i infrastruktury artificialintelligenceact.eu. Środki te odpowiadają na rosnące obawy dotyczące zaawansowanej SI (jak GPT-4 i kolejne), która mogłaby powodować szkody społeczne (np. nowe formy dezinformacji, cyberataki itd.). Akt de facto mówi: jeśli tworzysz przełomową SI ogólnego przeznaczenia, musisz zachować szczególną ostrożność i współpracować z regulatorami, by trzymać ją pod kontrolą europarl.europa.eu artificialintelligenceact.eu.

Aby wspierać współpracę, w Akcie przewidziano, że przestrzeganie kodeksów postępowania lub nadchodzących norm zharmonizowanych może być sposobem na spełnienie obowiązków przez dostawców GPAI artificialintelligenceact.eu. Unia promuje też Kodeks postępowania SI, którego branża może się tymczasowo trzymać digital-strategy.ec.europa.eu. Biuro ds. SI koordynuje opracowanie praktycznych wytycznych dla twórców modeli bazowych digital-strategy.ec.europa.eu. Kodeks jest dobrowolny, ale jego przestrzeganie może być “bezpieczną przystanią” — regulacje mogą wtedy domniemywać zgodność firmy z prawem.

Ogólnie obowiązki płynące z Aktu o SI obejmują cały cykl życia SI: od projektowania (ocena ryzyka, kontrola danych), przez rozwój (dokumentacja, testowanie), aż po wdrożenie (przejrzystość wobec użytkownika, nadzór) i etap powdrożeniowy (monitorowanie, raportowanie incydentów). Zgodność będzie wymagać współpracy wielu specjalistów – deweloperzy SI będą potrzebować nie tylko data scientistów i inżynierów, ale także prawników, osób ds. zarządzania ryzykiem i etyków, by zadbać o spełnienie wszystkich wymogów. W kolejnym kroku omówimy, jak będzie egzekwowana zgodność oraz co grozi w przypadku naruszeń przepisów.

Mechanizmy egzekwowania, organy nadzorcze i sankcje

Aby nadzorować te szerokie regulacje, Akt o SI UE powołuje wielopoziomową strukturę zarządzania i egzekwowania. Obejmuje ona krajowe organy nadzorcze w każdym państwie członkowskim, nowo utworzone centralne Europejskie Biuro ds. SI oraz koordynację poprzez Radę ds. SI. System nadzoru częściowo wzorowany jest na unijnych doświadczeniach z regulacjami dotyczącymi bezpieczeństwa produktów i ochrony danych (jak połączenie krajowych regulatorów i europejskiej rady w RODO).

Krajowe organy nadzorcze: Każde państwo członkowskie UE musi wyznaczyć jeden lub więcej krajowych organów odpowiedzialnych za nadzór nad działalnością AI (często nazywane Organami Nadzoru Rynku dla AI) orrick.com. Te organy będą zajmować się codziennymi kontrolami zgodności – na przykład sprawdzając, czy produkt AI wysokiego ryzyka wprowadzony na rynek spełnia wymagania, lub badając skargi obywateli. Mają uprawnienia podobne do tych wynikających z przepisów dotyczących bezpieczeństwa produktów (Rozporządzenie (UE) 2019/1020): mogą żądać informacji od dostawców, przeprowadzać inspekcje, a nawet nakazać wycofanie niezgodnych systemów AI z rynku orrick.com. Monitorują także rynek pod kątem systemów AI, które mogą omijać przepisy lub stanowić nieprzewidziane zagrożenia. Jeśli system AI zostanie uznany za niezgodny lub niebezpieczny, krajowe organy mogą nałożyć grzywny lub nakazać wycofanie/odwołanie systemu.

Każdy kraj prawdopodobnie powierzy tę funkcję istniejącemu regulatorowi lub utworzy nowy organ (niektórzy sugerują, że organ ochrony danych mógłby przejąć AI, lub branżowi regulatorzy np. agencje wyrobów medycznych w przypadku AI w medycynie, by wykorzystać ich wiedzę). Do sierpnia 2025 państwa członkowskie muszą wyznaczyć i uruchomić swoje organy ds. AI artificialintelligenceact.eu, a do 2026 każde państwo musi powołać przynajmniej jedną piaskownicę regulacyjną dla AI (kontrolowane środowisko testowe dla innowacyjnych rozwiązań AI pod nadzorem) artificialintelligenceact.eu.

Europejski Urząd ds. AI: Na poziomie UE powstała nowa instytucja znana jako Urząd ds. AI funkcjonująca w ramach Komisji Europejskiej (konkretnie pod DG CNECT) artificialintelligenceact.eu. Urząd ds. AI jest centralnym organem nadzorczym skupiającym się na sztucznej inteligencji ogólnego przeznaczenia oraz zagadnieniach transgranicznych. Zgodnie z aktem, Urząd ds. AI ma wyłączne uprawnienia egzekucyjne w zakresie zasad dotyczących dostawców modeli GPAI orrick.com. Oznacza to, że jeśli OpenAI, Google lub inna firma oferuje duży model AI wykorzystywany w całej Europie, Urząd ds. AI będzie głównym organem egzekwującym, by ci dostawcy wywiązywali się z obowiązków (dokumentacja techniczna, zarządzanie ryzykiem itd.). Urząd ds. AI może wymagać informacji i dokumentacji bezpośrednio od dostawców modeli podstawowych oraz żądać działań naprawczych w przypadku nieprzestrzegania przepisów orrick.com. Urząd będzie nadzorował również sytuacje, gdy ta sama firma jest zarówno dostawcą modelu podstawowego, jak i użytkownikiem systemu wysokiego ryzyka opartego na tym modelu – by nie doszło do luk pomiędzy nadzorem krajowym i unijnym orrick.com.

Oprócz egzekwowania, Urząd ds. AI odgrywa szeroką rolę w monitorowaniu trendów AI oraz ryzyk systemowych. Do jego zadań należy analiza pojawiających się problemów wysokiego ryzyka oraz nieprzewidzianych wyzwań związanych z AI (zwłaszcza w odniesieniu do GPAI) oraz możliwość oceny potężnych modeli artificialintelligenceact.eu. W Urzędzie pracować będą eksperci (Komisja prowadzi rekrutację specjalistów AI artificialintelligenceact.eu) oraz niezależny Panel Naukowy ekspertów AI doradzający w kwestiach technicznych artificialintelligenceact.eu. Co ważne, Urząd opracuje dobrowolne kodeksy postępowania i wytyczne dla branży – stanowiąc wsparcie dla twórców AI (szczególnie pomocne dla startupów/SME) artificialintelligenceact.eu. Będzie współpracował z państwami członkowskimi, by zapewnić spójne stosowanie przepisów, a nawet wspierał wspólne dochodzenia gdy problem AI dotyczy kilku krajów artificialintelligenceact.eu artificialintelligenceact.eu. W istocie, Urząd ds. AI to próba stworzenia centralnego regulatora AI w UE uzupełniającego krajowe organy – trochę jak Europejska Rada Ochrony Danych w przypadku RODO, choć mającego w niektórych obszarach szersze i bezpośrednie uprawnienia.

Rada ds. AI: Akt ustanawia nową Europejską Radę Sztucznej Inteligencji, w której skład wchodzą przedstawiciele wszystkich krajowych organów ds. AI (oraz Europejski Inspektor Ochrony Danych i Urząd ds. AI jako obserwatorzy) artificialintelligenceact.eu. Zadaniem Rady jest zapewnianie spójnej implementacji przepisów w całej Europie – jej członkowie będą dzielić się najlepszymi praktykami, mogą też wydawać opinie lub zalecenia oraz koordynować strategie egzekwowania transgranicznego artificialintelligenceact.eu. Urząd ds. AI pełni funkcję sekretariatu tej Rady, organizując posiedzenia oraz pomagając w opracowywaniu dokumentów artificialintelligenceact.eu. Rada może m.in. ułatwiać tworzenie standardów oraz omawiać konieczne z czasem aktualizacje załączników do aktu. To międzyrządowe forum, które ma zagwarantować jednolite podejście i zapobiec rozbieżnościom w egzekwowaniu przepisów prowadzącym do fragmentacji jednolitego rynku AI w UE.

Kary za nieprzestrzeganie przepisów: Akt wprowadza dotkliwe kary finansowe za naruszenia, idąc w ślad za odstraszającą logiką RODO. Wyróżniono trzy poziomy kar administracyjnych:

Za najpoważniejsze naruszenia – czyli stosowanie zakazanych praktyk AI (nieakceptowalne zastosowania, które są zbanowane) – kara może wynieść do 35 milionów euro lub 7% światowego rocznego obrotu, w zależności od tego, która wartość będzie wyższa orrick.com. To bardzo wysoka maksymalna sankcja (wyraźnie wyższa niż 4% z RODO). Podkreśla, jak poważnie UE traktuje na przykład budowę tajnych systemów oceniania społecznego czy nielegalny nadzór biometryczny – są one traktowane na równi z najpoważniejszymi przewinieniami korporacyjnymi.
Za inne naruszenia wymogów aktu (np. niespełnienie obowiązków związanych z AI wysokiego ryzyka, brak rejestracji systemu, niewdrożenie środków przejrzystości), maksymalna kara to 15 milionów euro lub 3% światowego obrotu orrick.com. Obejmuje to większość uchybień: na przykład firma nie przeprowadzi oceny zgodności lub dostawca zataja informacje przed regulatorami – takie przypadki wpadają do tej kategorii.
Za przekazanie nieprawidłowych, wprowadzających w błąd lub niepełnych informacji organom (np. w trakcie dochodzenia lub w odpowiedzi na żądanie związane z kontrolą zgodności), kara może wynieść do 7,5 miliona euro lub 1% światowego obrotu orrick.com. To „łagodniejszy” poziom kary, zasadniczo za utrudnianie lub brak współpracy z organami.

Co istotne, przepisy stanowią, że MŚP (małe i średnie przedsiębiorstwa) powinny podlegać dolnej granicy wymienionych widełek kar, podczas gdy duże firmy mogą być obciążane wyższymi kwotami orrick.com. Innymi słowy, 35 mln €/7% lub 15 mln €/3% to wartości maksymalne; regulatorzy mają swobodę i powinni brać pod uwagę wielkość oraz możliwości finansowe podmiotu naruszającego. MŚP może więc zastać ukarane grzywną liczoną w milionach, a nie procentowo, by uniknąć nieproporcjonalnych skutków; natomiast giganci technologiczni mogą dostać kary liczone procentowo – w razie potrzeby, by kara była skuteczna orrick.com.

Te przepisy dotyczące kar staną się wykonywalne od 2 sierpnia 2025 dla większości regulacji orrick.com. (To data wejścia w życie rozdziału dotyczącego zarządzania i artykułów o sankcjach.) Jednak w przypadku nowych obowiązków dla modeli AI ogólnego przeznaczenia, kary będą obowiązywać od roku później, czyli od 2 sierpnia 2026, kiedy to wymagania dotyczące modeli podstawowych staną się obligatoryjne orrick.com. Takie rozłożenie w czasie daje dostawcom modeli podstawowych czas na przygotowania.

Jeśli chodzi o procedurę i zabezpieczenia: firmy mają zapewnione prawa takie jak prawo do wysłuchania zanim zostanie nałożona sankcja, a poufność wrażliwych informacji przekazywanych organom nadzorczym jest obowiązkowa orrick.com. Akt podkreśla też, że w odróżnieniu od niektórych innych przepisów UE, Komisja Europejska (poprzez AI Office) nie posiada szerokich uprawnień do dokonywania niespodziewanych kontroli ani do samodzielnego wymuszania zeznań — chyba że tymczasowo przejmie rolę organu krajowego orrick.com. Oznacza to pewne limity, mające najpewniej uspokoić obawy przed nadmierną ingerencją. Rola egzekucyjna AI Office: Komisja Europejska, za pośrednictwem AI Office, może samodzielnie inicjować działania egzekucyjne w określonych przypadkach, zwłaszcza dotyczących ogólnego zastosowania AI. To nowe rozwiązanie — dotąd Komisja raczej nie przeprowadzała bezpośredniej egzekucji przepisów dotyczących produktów (jej rola ograniczała się do nadzoru i koordynacji), z wyjątkiem prawa konkurencji. Dzięki AI Act Komisja zyskuje bardziej bezpośrednie narzędzia nadzorcze. AI Office może badać dostawcę modeli bazowych, żądać szerokiego zbioru dokumentów (na wzór dochodzeń antymonopolowych) orrick.com, a nawet przeprowadzać symulowane cyberataki lub testy na modelu AI w celu sprawdzenia jego bezpieczeństwa artificialintelligenceact.eu. Firmy objęte takim postępowaniem mogą poczuć się, jakby uczestniczyły w dochodzeniu antymonopolowym, co – jak podkreślają analitycy Orrick – może okazać się uciążliwe ze względu na żądania tysięcy dokumentów, w tym wersji roboczych orrick.com. Doświadczenie Komisji w dużych śledztwach sugeruje, że do najważniejszych spraw AI będzie angażować znaczne zasoby. To podnosi poprzeczkę dla zgodności po stronie deweloperów AI, ale także pokazuje, że UE poważnie traktuje centralne egzekwowanie przepisów wobec fundamentalnej sztucznej inteligencji, przekraczającej granice państw. Nadzór nad AI wysokiego ryzyka: W przypadku tradycyjnych systemów AI wysokiego ryzyka (np. bankowy system oceny zdolności kredytowej czy miejskie zastosowania AI w policji), głównymi egzekutorami pozostają organy krajowe. Jednak AI Office i AI Board będą ich wspierać, zwłaszcza jeśli pojawią się kwestie między państwami UE. Akt przewiduje wspólne śledztwa, w ramach których kilku krajowych regulatorów współpracuje (z pomocą AI Office), jeśli zagrożenia ze strony systemu AI dotyczą kilku państw artificialintelligenceact.eu. Zapobiega to sytuacjom, w których AI używana na terenie całej UE jest rozpatrywana wyłącznie przez jeden kraj, podczas gdy pozostałe pozostają nieświadome. Wbudowano też proces odwoławczy i przeglądu: firmy mogą się odwoływać od decyzji egzekucyjnych poprzez sądy krajowe (lub ostatecznie do sądów UE, jeśli decyzja pochodzi od Komisji), a sam Akt ma podlegać okresowym przeglądom. Do 2028 r. Komisja musi ocenić, jak działa AI Office i nowy system artificialintelligenceact.eu, a co kilka lat będzie analizować, czy kategorie ryzyka lub listy (Aneks III itd.) wymagają aktualizacji artificialintelligenceact.eu. Takie adaptacyjne podejście do zarządzania jest kluczowe przy szybkim tempie rozwoju AI – UE zamierza dostosowywać przepisy w miarę potrzeb. Podsumowując, unijny Akt o AI będzie egzekwowany przez sieć regulatorów, z Europejskim AI Office jako centralnym punktem koordynacji, wyznaczania wytycznych i bezpośredniego nadzoru nad modelami bazowymi. Kary są poważne – na papierze jedne z najwyższych w jakiejkolwiek regulacji dotyczącej technologii – co jasno wskazuje, że nieprzestrzeganie przepisów nie wchodzi w grę. Organizacje powinny wbudować zgodność z przepisami w projekty AI od podstaw, zamiast ryzykować wysokie grzywny albo nakaz wyłączenia swoich systemów AI.

Wpływ sektorowy i przykłady zastosowań

Skutki Aktu o AI różnią się w zależności od branży, gdyż przepisy szczególnie adresują wybrane sektory jako wysokiego ryzyka. Poniżej opisujemy, jak wpływa on na kluczowe obszary — opiekę zdrowotną, finanse, organy ścigania i edukację:

Opieka zdrowotna i wyroby medyczne: AI ma ogromny potencjał w medycynie (od diagnozowania chorób po robotyczną chirurgię), ale zgodnie z Aktem większość tych rozwiązań klasyfikowana jest jako wysokiego ryzyka. Każdy element AI w regulowanym wyrobie medycznym z założenia uznaje się za wysokiego ryzyka emergobyul.com. Przykładowo, narzędzie AI do analizy zdjęć RTG lub algorytm sugerujący leczenie musi spełnić wymagania Aktu, oprócz istniejących regulacji zdrowotnych. Dostawcy takiego AI będą musieli przejść rygorystyczne oceny zgodności (prawdopodobnie w oparciu o procedury związane z oznaczeniem CE). Niezbędne będzie zapewnienie jakości klinicznej i bezpieczeństwa, co jest zgodne z wymaganiami Aktu w zakresie dokładności i minimalizacji ryzyka. Pacjenci i personel medyczny powinni skorzystać na tych zabezpieczeniach — AI będzie bardziej wiarygodne, a jego ograniczenia jawne. Z drugiej strony, twórców medycznych AI czeka wyższy koszt R&D i większa biurokracja dokumentacyjna w celu wykazania zgodności. Może to spowolnić wdrażanie innowacji medycznych w UE do czasu uzyskania akceptacji regulatora goodwinlaw.com. Z drugiej strony, Akt zachęca do eksperymentowania poprzez piaskownice regulacyjne: szpitale, startupy i regulatorzy mogą wspólnie prowadzić kontrolowane testy AI (np. pomoc diagnostyczna) w celu zebrania dowodów bezpieczeństwa i skuteczności przed szerokim wdrożeniem. Do 2026 roku każdy kraj UE musi uruchomić przynajmniej jedną piaskownicę regulacyjną AI w sektorze zdrowia artificialintelligenceact.eu. Podsumowując, AI w zdrowiu w Europie będzie prawdopodobnie bardziej bezpieczne i ustandaryzowane, ale producenci muszą szczególnie uważać na zgodność, aby nie opóźnić wprowadzania przełomowych innowacji.
Finanse i ubezpieczenia: Akt jednoznacznie kwalifikuje wiele usług AI w finansach jako wysokiego ryzyka. W szczególności systemy AI do oceny zdolności kredytowej — np. algorytmy decydujące o przyznaniu kredytu i oprocentowaniu — są uznane za wysokiego ryzyka, ponieważ wpływają na dostęp do podstawowych usług digital-strategy.ec.europa.eu. Oznacza to, że banki i fintechy używające AI do decyzji kredytowych, scoringu kredytowego czy szacowania ryzyka ubezpieczeniowego muszą zapewnić, że te systemy są niedyskryminujące, wyjaśnialne i podlegają audytowi. Konieczne będzie prowadzenie dokumentacji przedstawiającej proces szkolenia AI (by wykazać, że algorytm nie karze nieświadomie określonych grup etnicznych czy dzielnic, co bywało problemem). Klienci zyskają też na przejrzystości: chociaż Akt nie przyznaje bezpośredniego prawa do uzyskania wyjaśnienia decyzji, jak GDPR, to wymóg jasnej informacji oznacza, że instytucje muszą wskazać, kiedy AI bierze udział w ocenie i ogólnie wyjaśnić taką decyzję digital-strategy.ec.europa.eu. Innym przypadkiem jest AI w wykrywaniu oszustw i przeciwdziałaniu praniu pieniędzy – tu AI może podlegać wysokiemu ryzyku (gdy wpływa na prawa podstawowe) lub obowiązkom ograniczonej przejrzystości. Firmy finansowe potrzebują silnych ram zarządzania AI — rozbudowane struktury zarządzania ryzykiem modeli, zgodne z AI Act. Pojawią się początkowe koszty zgodności, jak doradcy ds. testowania błędów czy dokumentowanie modeli, ale skutkiem powinna być bardziej sprawiedliwa i godna zaufania AI w finansach. Klienci mogą liczyć na zmniejszenie uprzedzeń w decyzjach kredytowych i fakt, że działania AI są pod nadzorem regulatorów. Ubezpieczyciele wdrażający AI do oceny ryzyka (np. ubezpieczenia zdrowotnego lub na życie) podlegają podobnie przepisom wysokiego ryzyka artificialintelligenceact.eu i muszą przeciwdziałać niesprawiedliwej dyskryminacji (np. by AI nie podwyższała bezpodstawnie składki ze względu na chronione cechy zdrowotne). Finalnie, Akt pcha AI w finansach ku większej przejrzystości i odpowiedzialności, co powinno zwiększyć zaufanie klientów do usług opartych na AI w dłuższej perspektywie.
Organy ścigania i bezpieczeństwo publiczne: W tym obszarze Akt przewiduje szczególną ostrożność z uwagi na wagę praw i wolności obywatelskich. Niektóre zastosowania AI przez policję są zakazane jako niedopuszczalne: np. AI służące do „oceny społecznej” lub profilowania predykcji przestępczości artificialintelligenceact.eu artificialintelligenceact.eu. Podobnie dyskutowane narzędzia rozpoznawania twarzy w czasie rzeczywistym w miejscach publicznych są zabronione z wyjątkiem skrajnych sytuacji kryzysowych (i nawet wtedy — przy ścisłych zgodach) europarl.europa.eu. Policja europejska nie może więc wdrażać sieci CCTV z automatycznym rozpoznawaniem twarzy, jak dzieje się to gdzie indziej na świecie — chyba, że w bardzo wąsko określonych przypadkach i za zgodą sądu. Inne narzędzia policyjne podlegają klasyfikacji wysokiego ryzyka, co umożliwia ich użycie, lecz pod nadzorem. Przykładem może być AI do analizy danych kryminalnych lub oceny wiarygodności dowodów — wymagają one oceny wpływu na prawa podstawowe i decyzyjności ludzkiego funkcjonariusza digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Policja czy służby graniczne używające takich narzędzi muszą przeprowadzać analizy wpływu na prawa podstawowe i zapewniać, by decyzje podejmowali ludzie, a nie sam algorytm. Wszystkie systemy policyjne wysokiego ryzyka trafią do unijnej bazy danych, co zwiększy przejrzystość i umożliwi (w pewnym zakresie) publiczny wgląd. Dla samych służb Akt oznacza więcej biurokracji (wnioski, dokumentacja, zgody notyfikowanych organów itd.) i potencjalne spowolnienie wdrożeń. Te środki mają jednak zapobiegać nadużyciom — np. sytuacjom, w których czarnoskrzynkowy algorytm decyduje o wyroku czy kontroli granicznej. Kolejny przykład to technologia analizy emocji w pracy lub strukturach policyjnych: Akt zakazuje AI deklarujących rozpoznawanie emocji w przesłuchaniach, rozmowach kwalifikacyjnych czy egzaminach szkolnych, jako zbyt inwazyjnych i zawodnych digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Ostatecznie, unijne organy ścigania będą skupiać się na AI wspierającej analizę danych czy rutynowe działania, pod nadzorem ludzi, i rezygnować z bardziej dystopijnych zastosowań znanych z innych regionów świata. Akt próbuje więc wyważyć: pozwolić AI pomagać w wykrywaniu przestępstw i poprawiać bezpieczeństwo, ale nie kosztem praw i wolności obywatelskich.
Edukacja i zatrudnienie: Systemy AI w edukacji — np. oprogramowanie oceniające egzaminy lub rekomendujące przydział uczniów — są uznane za wysokiego ryzyka, bo mogą przesądzić o przyszłości uczniów digital-strategy.ec.europa.eu. Szkoły czy firmy edtech korzystające z AI do oceny wypracowań lub wykrywania ściągania muszą zapewnić, że te narzędzia są dokładne i wolne od uprzedzeń. Wadliwy system, który zaniża oceny konkretnym grupom lub zawiedzie podczas egzaminu, może mieć przełomowe skutki, stąd wysoka kategoria ryzyka. Resorty edukacji i uczelnie będą musiały rygorystyczniej oceniać dostawców AI i dokumentować wszelkie algorytmy mające wpływ na przyjęcia lub ocenianie. Uczniowie powinni być informowani (transparentność), gdy decyzję podejmuje AI, i mieć możliwość odwołania — te wymogi wspiera Akt. W zatrudnieniu AI używana do rekrutacji lub zarządzania kadrami (wstępna selekcja CV, ranking kandydatów, monitoring pracy) także jest wysokiego ryzyka digital-strategy.ec.europa.eu. Firmy wdrażające takie narzędzia muszą dowieść, że ich AI zaprojektowano i testowano pod względem równości (by nie odtwarzały uprzedzeń, np. płciowych w rekrutacjach). W efekcie na rynku HR-tech pojawi się potrzeba daleko idących poprawek lub dokumentacji narzędzi, a jeśli AI nie sprosta wymogom — powrót do bardziej tradycyjnych procesów. Minimum to informacja „Twoja aplikacja może być oceniana przez AI” oraz potencjalne wyjaśnienie decyzji, wpisujące się w ethos przejrzystości. Plusem może być większa równość i odpowiedzialność w zatrudnieniu — AI przestanie być czarną skrzynką, a stanie się nadzorowanym narzędziem. Wyzwanie dla działów HR to wdrożenie zgodności bez paraliżowania procesu naboru. Tu także pomocne mogą być piaskownice: startup HR może testować swój algorytm z regulatorami i uzyskać informację zwrotną zanim wdroży go szerzej.

W innych sektorach nieopisanych wprost w Akcie, skutki zależą od konkretnego zastosowania. Przykładowo infrastruktura krytyczna (sieci energetyczne, zarządzanie ruchem) korzystająca z AI do optymalizacji pracy będzie podlegać przepisom wysokiego ryzyka, jeśli awarie AI niosą zagrożenie dla bezpieczeństwa artificialintelligenceact.eu. Oznacza to konieczność certyfikacji takich systemów przez operatorów infrastruktury lub transportu. Marketing i media społecznościowe (np. AI do targetowania reklam, rekomendacji treści) zazwyczaj nie podlegają wysokim wymogom AI Act, podlegając raczej przepisom o niskim lub ograniczonym ryzyku — choć mogą mieć zastosowanie inne akty, takie jak DSA.

Jednym z godnych uwagi sektorów są produkty konsumenckie i robotyka – jeśli sztuczna inteligencja zostanie zintegrowana z produktami konsumenckimi (zabawkami, sprzętem AGD, pojazdami), wchodzą w życie przepisy dotyczące bezpieczeństwa produktów. Na przykład zabawka z AI, która wchodzi w interakcje z dziećmi, może być uznana za produkt wysokiego ryzyka, zwłaszcza jeśli mogłaby niebezpiecznie wpływać na zachowanie dzieci europarl.europa.eu. Rozporządzenie wyraźnie zakazuje zabawek wykorzystujących głosową AI w celu zachęcania dzieci do szkodliwych zachowań europarl.europa.eu. Firmy produkujące zabawki i gry używające AI muszą więc bardzo ostrożnie podchodzić do treści i funkcjonalności.

Ogólnie rzecz biorąc, branże mające wpływ na życie, szanse lub prawa ludzi będą musiały dostosować się do najistotniejszych nowych regulacji. Prawdopodobnie sektor ten przejdzie kulturową zmianę w kierunku „etyki AI i zgodności” – rola takiej jak oficer ds. zgodności AI lub recenzent ds. etyki staną się codziennością. O ile początkowo może dojść do spowolnienia, gdy systemy będą audytowane i udoskonalane, to na dłuższą metę może pojawić się większe zaufanie społeczne do AI w tych dziedzinach. Przykładowo, jeśli rodzice będą pewni, że AI oceniające ich dziecko jest monitorowane pod kątem rzetelności, chętniej zaakceptują AI w edukacji.

Wpływ na przedsiębiorstwa: MŚP, startupy i globalne korporacje

Unijna ustawa o AI wpłynie na organizacje każdej wielkości, od dynamicznych startupów po międzynarodowych gigantów technologicznych, w szczególności na tych, którzy oferują produkty lub usługi AI w Europie. Koszty i obowiązki związane z dostosowaniem nie będą trywialne, ale akt przewiduje mechanizmy wspierające mniejsze przedsiębiorstwa, a jego eksterytorialny zasięg sprawia, że nawet firmy spoza UE muszą zwrócić na to uwagę.

Małe i Średnie Przedsiębiorstwa (MŚP): MŚP i startupy są często głównymi innowatorami w zakresie AI – szacuje się, że około 75% innowacji AI pochodzi właśnie ze startupów seniorexecutive.com. UE była świadoma ryzyka przeciążenia tych uczestników rynku, dlatego wprowadziła pewne ułatwienia. Jak wspomniano, kary za naruszenia są odpowiednio niższe dla MŚP orrick.com, dzięki czemu drobna firma nie będzie ponosić rujnujących konsekwencji finansowych. Proaktywnie akt zobowiązuje również, by regulacyjne piaskownice były dostępne bezpłatnie i z priorytetowym dostępem dla MŚP thebarristergroup.co.uk. Te piaskownice (operacyjne od 2026 roku w każdym państwie członkowskim) umożliwią startupom testowanie systemów AI pod nadzorem i uzyskanie informacji zwrotnej o zgodności bez obaw o kary podczas fazy testów. To szansa na współtworzenie produktu razem z regulatorami – przekształcając zgodność z przepisami z przeszkody w proces współprojektowania.

Dodatkowo Komisja Europejska uruchomiła „Pakt AI” oraz inne inicjatywy wspierające razem z aktem digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Pakt AI to dobrowolny program zapraszający firmy do wcześniejszego dostosowania i dzielenia się dobrymi praktykami, szczególnie z myślą o podmiotach innych niż tzw. „Big Tech”. Akt przewiduje też, że AI Office zapewni wytyczne, szablony i zasoby dla MŚP artificialintelligenceact.eu. Możliwe, że pojawią się przykładowe plany zarządzania ryzykiem czy listy kontrolne dokumentacji, z których może skorzystać nawet 10-osobowy startup, zamiast wynajmować cały zespół prawników.

Mimo tych ułatwień wiele startupów nadal obawia się ciężaru zgodności. Wymogi (jak opisano wcześniej) dotyczące systemów zarządzania jakością czy oceny zgodności mogą wydawać się przytłaczające dla małej firmy z ograniczonym personelem. Istnieją obawy, że innowacyjność może zwolnić lub przesunąć się geograficznie: jeśli wejście z produktem AI na rynek UE będzie zbyt uciążliwe, firma może najpierw uruchomić produkt gdzie indziej (np. w USA), a inwestorzy preferować regiony z lżejszymi przepisami seniorexecutive.com seniorexecutive.com. Jak ujął to jeden z prezesów firm technologicznych, jasne zasady budują zaufanie, ale zbyt restrykcyjne przepisy „mogą wypchnąć wartościowe badania poza region” seniorexecutive.com. Niektórzy założyciele startupów postrzegają akt jako zbyt szeroki i obciążający, obawiając się, że firmy na wczesnym etapie rozwoju nie poradzą sobie z kosztami i będą zmuszone opuścić UE seniorexecutive.com.

By temu zapobiec, unijni decydenci podkreślają, że standardy i procedury zgodności będą jak najbardziej uproszczone. Przykładowo mogą powstać standaryzowane moduły oceny zgodności, z których skorzystać może mały dostawca, czy też usługi certyfikacji finansowane wspólnie przez grupy MŚP. Eksperci proponowali także granty na zgodność czy dotacje – środki na pokrycie kosztów spełnienia nowych wymogów seniorexecutive.com. Jeśli takie zachęty pojawią się na poziomie UE lub krajowym, znacznie odciążą one firmy.

Tak czy inaczej, MŚP powinny zacząć od mapowania swoich systemów AI do odpowiednich kategorii ryzyka i skoncentrować się na tych wysokiego ryzyka. Wiele startupów AI odkryje, że ich produkt to w rzeczywistości ryzyko minimalne lub ograniczone, a zatem wystarczy dodać np. obowiązkową informację, a nie wdrażać pełny program zgodności. W obszarach wysokiego ryzyka (np. startup medtech czy narzędzia HR) kluczowy będzie wczesny kontakt z regulatorami (poprzez piaskownice lub konsultacje). Akt wyraźnie promuje „podejście proinnowacyjne” – regulatorzy mają brać pod uwagę potrzeby mniejszych podmiotów i nie stosować od razu karnej polityki „jeden rozmiar dla wszystkich”, szczególnie na początku seniorexecutive.com. W praktyce prawdopodobnie pojawi się okres ochronny, gdy firmy podejmujące realne starania będą prowadzone i wspierane, a nie od razu karane.

Globalne i spoza UE firmy: Podobnie jak RODO, unijna ustawa o AI ma zasięg eksterytorialny. Jeżeli system AI jest wprowadzony na rynek UE lub jego rezultat jest wykorzystywany w UE, przepisy mogą mieć zastosowanie niezależnie od siedziby dostawcy artificialintelligenceact.eu. Oznacza to, że firmy z USA, Azji czy innych regionów świata nie mogą ignorować ustawy, jeśli mają klientów w Europie. Przykładowo, firma z Doliny Krzemowej sprzedająca narzędzie rekrutacyjne oparte na AI klientom w Europie będzie musiała zapewnić, że spełnia ono wymogi UE (inaczej klienci nie będą mogli tego narzędzia legalnie używać).

Dla dużych globalnych firm technologicznych (Google, Microsoft, OpenAI itd.) akt już teraz wpływa na działania. Jeszcze przed jego uchwaleniem niektóre firmy zaczęły oferować więcej przejrzystości czy kontroli w produktach AI w oczekiwaniu na nadchodzące regulacje. Przykładowo, dostawcy AI generatywnej pracują nad narzędziami do oznaczania wygenerowanych przez AI treści, a wielu już dziś publikuje informacje o danych treningowych i ograniczeniach modeli wskutek nacisku UE. Pojawia się także argument, że zgodność z unijną ustawą o AI może stać się przewagą konkurencyjną lub znakiem jakości – podobnie jak produkty „zgodne z RODO” są odbierane jako przyjazne dla prywatności, produkty „zgodne z EU AI Act” mogą zyskać globalnie zaufanie.

Jednak globalne firmy muszą balansować między różnymi jurysdykcjami. Przepisy UE mogą nie zgadzać się np. z amerykańskimi wymogami. Część amerykańskich przepisów stanowych lub federalnych może nakładać inne obowiązki sprawozdawcze czy być w sprzeczności z przepisami UE. Międzynarodowe firmy mogą więc przyjąć najostrzejsze standardy (często właśnie UE), by ujednolicić podejście globalne – tak jak to miało miejsce z RODO, gdy wiele firm rozszerzyło jego prawa na cały świat. Możliwe więc, że dostawcy AI wdrożą unijne praktyki przejrzystości (np. oznaczanie treści stworzonych przez AI) na całym świecie w imię spójności. Rozporządzenie może więc wyeksportować „normy godnej zaufania AI” do innych rynków, jeśli duzi gracze zmienią produkty globalnie.

Jednak fragmentacja jest ryzykiem: jeśli inne regiony pójdą inną ścieżką, globalne firmy mogą być zmuszone utrzymać odrębne wersje produktów lub funkcje dla poszczególnych rynków. Przykładowo, aplikacja AI może mieć specjalny „tryb UE” z dodatkowymi zabezpieczeniami. W dłuższej perspektywie to kosztowne, więc pojawi się presja na międzynarodową spójność (więcej o tym w kolejnej części).

Z punktu widzenia strategii korporacyjnej, duże firmy prawdopodobnie utworzą dedykowane zespoły ds. zgodności AI (jeśli już ich nie mają), by audytować systemy AI według wymagań aktu. Prawdopodobnie pojawią się także zewnętrzne firmy audytujące AI oferujące usługi certyfikacji – powstanie nowy ekosystem podobny do audytów cyberbezpieczeństwa – z którego korzystać będą zarówno duzi, jak i średni gracze, by upewnić się co do zgodności jeszcze przed tym, jak zapuka oficjalny regulator.

Kolejną konsekwencją jest kwestia inwestycji: zarówno inwestorzy VC, jak i klienci korporacyjni będą przeprowadzać due diligence w zakresie zgodności z AI Act. Startupy mogą usłyszeć od inwestorów pytanie: „Czy wasza ocena ryzyka zgodna z AI Act jest już gotowa? Czy uczestniczycie w piaskownicy regulacyjnej albo macie plan uzyskania znaku CE, jeśli to konieczne?” – podobnie jak po wejściu RODO zgodność z przepisami o prywatności stała się punktem na liście kontrolnej podczas rund finansowania. Firmy potrafiące wykazać zgodność mogą uzyskać przewagę w pozyskiwaniu partnerstw i sprzedaży na rynku europejskim, podczas gdy te, które tego nie potrafią, mogą być postrzegane jako bardziej ryzykowne inwestycje.

Podsumowując: dla MŚP i startupów Akt jest mieczem obosiecznym – wprowadza jasność i potencjalną przewagę konkurencyjną dla „odpowiedzialnych” rozwiązań AI, ale jednocześnie podnosi poprzeczkę w grze na niektórych wysoko ryzykownych polach. Dla firm globalnych Akt może w praktyce ustanowić de facto globalny standard w zakresie zarządzania AI (podobnie jak RODO w odniesieniu do prywatności danych), a firmy będą musiały włączyć te wymogi w cykle rozwoju AI. UE liczy, że poprzez budowanie zaufania regulacjami zwiększy właśnie wdrażanie AI – firmy i konsumenci mogą chętniej korzystać ze sztucznej inteligencji, czując, że jest ona regulowana. Warunkiem jest osiągalność zgodności; w przeciwnym razie innowacje mogą przenieść się do słabiej regulowanych środowisk.

Konsekwencje dla innowacji, inwestycji w AI i międzynarodowego dostosowania

AI Act wywołał szeroką debatę na temat jego wpływu na szerszy krajobraz AI – czy zatrzyma on, czy rozwinie innowacje? Jak wpłynie na globalne zarządzanie AI? Oto kluczowe przewidywane skutki:

Innowacja: hamulec czy akcelerator? Krytycy twierdzą, że surowe zasady Aktu, zwłaszcza dla wysokiego ryzyka AI, mogą spowalniać eksperymentalne innowacje, szczególnie w startupach odpowiadających za dużą część przełomowych rozwiązań seniorexecutive.com. Zadania związane z zgodnością (dokumentacja, oceny itd.) mogą wydłużyć cykle rozwoju i odciągać zasoby od typowego R&D. Przykładowo: zespół badawczy AI może musieć poświęcić dodatkowe miesiące na walidację danych i przygotowanie raportów zgodności przed wypuszczeniem produktu. Przewija się obawa dotycząca możliwego „odpływu innowacji”, czyli sytuacji, gdzie najzdolniejsze osoby lub firmy z branży AI wolą działać w regionach z mniejszymi barierami regulacyjnymi seniorexecutive.com. Jeśli Europa będzie postrzegana jako zbyt trudna, następne przełomowe rozwiązanie AI powstanie w USA lub Azji i potem zostanie zaadaptowane w Europie (albo nie będzie dostępne w UE w ogóle).

Już teraz obserwujemy, że część usług AI (zwłaszcza aplikacje generatywne) blokuje dostęp użytkownikom z UE lub opóźnia premiery dla UE, powołując się na niepewność prawną. Jeśli z czasem Akt będzie uznawany za zbyt uciążliwy, Europie grozi pozostanie w tyle względem regionów o liberalniejszym podejściu do AI.

Z drugiej strony, wiele głosów w branży podkreśla, że jasne zasady mogą wspierać innowacje poprzez zmniejszenie niepewności seniorexecutive.com. Akt tworzy przewidywalne otoczenie – firmy znają „reguły gry” i mogą wprowadzać innowacje z przekonaniem, że przestrzegając wytycznych ich AI nie zostanie później zakazana lub nie spotka się z publicznym ostracyzmem. Często podkreślanym atutem jest to, że Akt zwiększy zaufanie społeczne do AI, kluczowe dla adopcji. Jeśli obywatele uwierzą, że AI w Europie jest sprawdzona pod kątem bezpieczeństwa i uczciwości, mogą chętniej wdrażać takie rozwiązania, przez co rynek AI urośnie. Firmy mogą być bardziej skłonne inwestować w projekty AI, wiedząc, że mają ramy zgodności, zamiast ryzykować nieuregulowaną „dziką zachodnią” rzeczywistość, która mogłaby prowadzić do skandali lub pozwów.

W gruncie rzeczy Akt próbuje znaleźć równowagę: wprowadza „tarcie” (nadzór, rozliczalność) z nadzieją, że dzięki temu powstaną długoterminowe, zrównoważone innowacje zamiast chaotycznych, krótkookresowych. Mechanizmy piaskownic i akcent na MŚP pokazują, że UE rozumie: za dużo tarcia = utracone innowacje, i próbuje to aktywnie łagodzić.

Argumentuje się też, że etyczna innowacja AI może stać się przewagą konkurencyjną. Firmy europejskie mogą specjalizować się w AI z założenia przejrzystej i skoncentrowanej na człowieku, co może zapewnić im przewagę wraz z rosnącym globalnym popytem na „odpowiedzialne AI”. Już teraz sektor narzędzi do zgodności i etyki AI dynamicznie się rozwija – od oprogramowania do wykrywania uprzedzeń po platformy do dokumentacji modeli – napędzany m.in. spodziewaną regulacją.

Inwestycje w AI: W krótkim okresie koszty zgodności to nowy „podatek” od rozwoju AI, co może skłonić inwestorów do większej ostrożności lub przekierowania środków na cele zgodności. Niektóre fundusze VC czy private equity mogą omijać startupy działające w silnie regulowanych obszarach AI, o ile nie mają one jasnej strategii zgodności (lub o ile potencjał biznesowy nie przewyższa kosztów regulacyjnych). Przeciwnie – można oczekiwać wzmożonych inwestycji w pewnych obszarach:

RegTech dla AI: Firmy oferujące rozwiązania pomagające w spełnieniu wymogów AI Act (np. audyty AI, automatyzacja dokumentacji, narzędzia do monitorowania modeli) mogą liczyć na boom inwestycyjny wraz ze wzrostem popytu na ich produkty.
AI Assurance i standardy: Pojawi się zapewne finansowanie projektów, które spełniają lub przewyższają wymogi regulacyjne, a więc dzięki temu wyróżniają się na rynku. Przykładowo AI, którego wyjaśnialność i sprawiedliwość są udowodnione, może przyciągać klientów i inwestorów ceniących „compliance by design”.

Sama UE kieruje inwestycje w badania i innowacje AI powiązane z zaufaniem społecznym. Dzięki programom takim jak Horyzont Europa czy Digital Europe Programme, fundusze trafiają do projektów AI kładących nacisk na przejrzystość, odporność i zgodność z wartościami UE. Publiczne finansowanie ma w ten sposób zapewnić, że innowacje będą kontynuowane, ale w ustalonych ramach.

Jednym z możliwych skutków jest to, że niektóre nisze AI będą w UE rozkwitać (te, które łatwo poddają się regulacjom, jak AI dla ochrony zdrowia, gdzie łatwo wykazać korzyści bezpieczeństwa), a inne będą w stagnacji (np. AI do moderacji treści w mediach społecznościowych – jeśli będzie uznana za zbyt ryzykowną lub złożoną pod kątem zgodności, to hipotetyczny przykład). Możemy także zobaczyć przesunięcie z AI dla konsumenta indywidualnego na AI biznesowe – ponieważ rozwiązania skierowane do konsumentów mogą być bardziej skrupulatnie analizowane regulacyjnie (zwłaszcza, jeśli mogą wpływać na zachowania), podczas gdy AI stosowane wewnętrznie w firmach łatwiej objąć wymogami zgodności.

Globalne dostosowanie czy fragmentacja? Na arenie międzynarodowej AI Act UE jest obserwowany bardzo uważnie. Może on stać się wzorem, który zaadaptują inne demokracje. Już teraz Brazylia przyjęła ustawę opartą o model ryzyka UE cimplifi.com, a takie kraje jak Kanada przygotowały projekty aktów (ustawa AIDA) koncentrujące się na AI wysokiego wpływu i ograniczaniu ryzyka cimplifi.com. Te działania są inspirowane podejściem UE. Jeśli kilka jurysdykcji przyjmie podobne ramy, zmierzamy ku ułatwieniu regulacyjnemu – co jest korzystne dla firm AI, bo to mniej rozbieżnych przepisów do spełnienia.

Nie wszyscy jednak kopiują wzorzec wprost. Wielka Brytania przyjęła wyraźnie łagodniejsze, oparte na zasadach ogólnych podejście, polegające na wydawaniu wytycznych przez regulacje sektorowe zamiast jednej ustawy cimplifi.com. UK kładzie nacisk na innowacje i deklaruje, że nie chce nadmiernie regulować rodzących się technologii. Być może wprowadzi własny akt prawny o AI, ale zapewne mniej restrykcyjny od wersji UE. Japonia i niektóre inne kraje również zapowiadają łagodniejsze podejście oparte na dobrowolnych wytycznych etycznych, a nie wiążących przepisach.

W Stanach Zjednoczonych obecnie nie istnieje federalne prawo AI porównywalne z Aktem UE. USA opublikowały natomiast niewiążący Blueprint for an AI Bill of Rights, określający ogólne zasady: bezpieczeństwo, niedyskryminację, prywatność danych, przejrzystość i alternatywy dla człowieka weforum.org, ale to raczej przewodnik polityczny niż egzekwowalne prawo. Bardziej prawdopodobne jest wdrażanie przepisów sektorowych (np. FDA dla AI w medycynie, regulatorzy finansowi dla AI w bankowości) i korzystanie z obecnych przepisów w zakresie dyskryminacji czy odpowiedzialności. Pod koniec 2023 i w 2024 roku aktywność regulacyjna w USA wzrosła – administracja Bidena wydała rozporządzenie wykonawcze dotyczące AI (październik 2023), które m.in. nakłada na twórców najbardziej zaawansowanych modeli obowiązek dzielenia się wynikami testów bezpieczeństwa z rządem oraz dotyczy AI w biologii, biobezpieczeństwie i prawach obywatelskich. Jednak to działania rządu wykonawczego, a nie ustawa. Równolegle Kongres prowadzi wysłuchania i przygotowuje projekty ustaw, ale do połowy 2025 roku żaden nie został uchwalony. Prawdopodobny scenariusz dla USA to „patchwork”: części stanów mają własne ustawy o AI (np. nakazujące ujawnianie deepfake’ów czy regulacje narzędzi AI do rekrutacji), a agencje federalne egzekwują istniejące prawo (FTC patrzy na nieuczciwe zastosowania AI, EEOC na stronniczość AI w rekrutacji itp.), zamiast jednego całościowego aktu.

Oznacza to, że w krótkiej perspektywie firmy mają rozbieżny krajobraz regulacyjny: ścisły reżim w UE, luźniejszy (ale ewoluujący) w USA i różne modele gdzie indziej. Analiza mediów Senior Executive przewidywała, że USA utrzyma strategię sektorową dla przewagi konkurencyjnej, podczas gdy Chiny pójdą dalej w ścisłej kontroli, a inne państwa – jak UK, Kanada, Australia – wybiorą elastyczne wytyczne seniorexecutive.com. Ta rozbieżność może być wyzwaniem – firmy mogą musieć dostosowywać AI osobno do wymogów każdego regionu, co jest kosztowne i nieefektywne, a ponadto może spowalniać globalne wdrażanie AI – trzeba bowiem sprawdzać zgodność jednocześnie w wielu systemach regulacyjnych.

Z pozytywnej strony podejmowane są aktywne wysiłki na rzecz międzynarodowej koordynacji: UE i USA poprzez wspólną Radę ds. Handlu i Technologii mają grupę roboczą ds. AI, aby poszukać wspólnej płaszczyzny (pracują m.in. nad terminologią i standardami AI). G7 uruchomiła w połowie 2023 roku proces AI w Hiroszimie, by dyskutować o globalnym zarządzaniu AI; jedną z propozycji było wypracowanie kodeksu postępowania dla firm AI na poziomie międzynarodowym. Organizacje takie jak OECD i UNESCO ustanowiły zasady dotyczące AI, do których przystąpiło wiele krajów (w tym USA, UE, a w przypadku OECD nawet Chiny) – zasady te obejmują znane kwestie (sprawiedliwość, przejrzystość, odpowiedzialność). Jest nadzieja, że mogą one stać się bazą do regulacyjnej harmonizacji.

W dłuższej perspektywie niektórzy uważają, że możemy dojść do konwergencji w zakresie podstawowych zasad, nawet jeśli mechanizmy prawne będą się różnić seniorexecutive.com. Na przykład niemal wszyscy zgadzają się, że AI nie powinna być niebezpieczna lub wyraźnie dyskryminująca – różnić się mogą sposoby egzekwowania tych założeń, ale rezultat (bezpieczniejsza, sprawiedliwsza AI) pozostaje wspólnym celem. Jest możliwe, że poprzez dialogi i być może międzynarodowe porozumienia dojdzie do częściowej harmonizacji. Fragmentaryczny początek może ostatecznie doprowadzić do bardziej jednolitego zestawu norm seniorexecutive.com, zwłaszcza w miarę globalizacji samej technologii AI (trudno geoograniczyć możliwości AI w połączonym świecie).

Przywództwo i rywalizacja w AI: Pojawia się także aspekt geopolityczny. UE pozycjonuje się jako lider w zakresie etycznego zarządzania AI. Jeśli jej model zyska światową popularność, Unia może mieć duży wpływ na ustalanie standardów (podobnie jak w przypadku RODO, które wpłynęło na ochronę danych na całym świecie). Z drugiej strony, jeśli Akt zostanie oceniony jako blokujący rozwój europejskiego przemysłu AI przy jednoczesnym rozwoju innych regionów, UE może być krytykowana za narzucanie sobie niekorzystnych warunków konkurencyjnych. Obecnie to amerykańskie firmy technologiczne prowadzą w wielu obszarach AI, a Chiny mocno inwestują w tę technologię. Europa stawia na to, że godna zaufania AI zwycięży w długim okresie nad nieuregulowaną AI, ale to się dopiero okaże.

Pierwsze sygnały w roku 2025 sugerują trochę oba scenariusze: niektóre firmy AI przyznają, że europejskie regulacje skłaniają je do opracowywania lepszych mechanizmów kontrolnych (co jest pozytywne), podczas gdy inne wstrzymały niektóre usługi w Europie (to negatyw). Widzimy też międzynarodowe firmy współpracujące z regulatorami UE – na przykład największe laboratoria AI są w trakcie rozmów z UE o wdrażaniu takich rozwiązań jak znakowanie treści generowanych przez AI, co wskazuje, że Akt już kształtuje globalny sposób projektowania produktów.

Z perspektywy inwestycji i badań można spodziewać się większego nacisku na takie obszary jak wytłumaczalność rozwiązań AI, redukcja uprzedzeń i weryfikowalność – ponieważ są one wymagane przez prawo. UE finansuje liczne badania w tym zakresie, co może zaowocować przełomami czyniącymi AI z natury bezpieczniejszą i łatwiejszą do regulowania (np. nowe techniki interpretowania sieci neuronowych). Gdyby takie przełomy się pojawiły, wszyscy mogliby na nich skorzystać, nie tylko Europa.

Podsumowując, Akt o AI to śmiałe regulacyjne eksperymenty, które mogą albo ustanowić światowy wzorzec zarządzania AI, albo – jeśli będą niedostatecznie dopracowane – doprowadzić do izolacji europejskiego ekosystemu AI. Najbardziej prawdopodobne jest, że będzie to wywieranie istotnego wpływu: innowacje w AI nie ustaną, ale będą musiały uwzględnić regulacyjne zabezpieczenia. Firmy i inwestorzy już dostosowują swoje strategie – włączają zgodność z przepisami do planu rozwoju produktu, kalkulują koszty działalności AI w UE, a niektórzy mogą skierować się ku aplikacjom o niższym ryzyku lub innym rynkom. Międzynarodowo jesteśmy na rozdrożu: czy świat pójdzie za UE (prowadząc do bardziej jednolitych globalnych standardów AI), czy też dojdzie do podziału pozwalającego AI rozwijać się w odmiennych ramach regulacyjnych? Najbliższe lata, w miarę wchodzenia w życie przepisów Aktu i reakcji innych krajów, będą kluczowe.

Globalne regulacje AI: Akt UE kontra USA, Chiny (i inni)

Akt UE o AI nie istnieje w próżni – jest częścią szerszego światowego trendu w kierunku rozwiązywania problemów związanych z AI. Porównajmy go z podejściem Stanów Zjednoczonych i Chin, dwóch innych potęg AI opierających się na zupełnie różnych filozofiach regulacyjnych, oraz odnotujmy kilka innych:

Stany Zjednoczone (Blueprint for an AI Bill of Rights & nowe polityki): USA póki co przyjmują mniej scentralizowane, bardziej oparte na zasadach podejście. W październiku 2022 roku Biuro Białego Domu ds. Nauki i Technologii opublikowało Blueprint for an AI Bill of Rights, czyli zestaw pięciu zasad przewodnich dla projektowania i wykorzystywania zautomatyzowanych systemów weforum.org:

Bezpieczne i skuteczne systemy – Amerykanie powinni być chronieni przed niebezpieczną lub wadliwie działającą AI (np. AI powinna być testowana i monitorowana pod kątem skuteczności w przewidzianym zastosowaniu) weforum.org.
Ochrona przed dyskryminacją algorytmiczną – AI nie może być wykorzystywana w sposób niesprawiedliwy ani dyskryminujący, powinna działać równo wobec wszystkich weforum.org. To się łączy z obowiązującym prawem antydyskryminacyjnym; AI nie może być wykorzystywana do obchodzenia prawa, które już dziś chroni przed dyskryminacją w odniesieniu do decyzji ludzkich.
Prywatność danych – Ludzie powinni mieć kontrolę nad wykorzystywaniem swoich danych w AI oraz być chronieni przed nadużyciami weforum.org. Blueprint nie wprowadza nowego prawa ochrony prywatności, ale wzmacnia zasadę, że AI nie powinna naruszać prywatności i powinna korzystać z danych w minimalnym stopniu.
Poinformowanie i wyjaśnienie – Ludzie powinni wiedzieć, kiedy korzysta się z systemu AI i rozumieć, dlaczego podjęto decyzję, która ich dotyczy weforum.org. Chodzi tu o wymóg przejrzystości i wytłumaczalności, podobnie jak w przepisach UE.
Alternatywy i interwencja człowieka – Powinna istnieć możliwość rezygnacji z decyzji AI lub interweniowania człowieka, gdzie to uzasadnione weforum.org. Na przykład, jeśli AI odmówi komuś kredytu hipotecznego, powinien mieć prawo odwołania się do człowieka lub ponownego rozpatrzenia sprawy.

Te zasady odzwierciedlają wiele celów Aktu UE (bezpieczeństwo, sprawiedliwość, przejrzystość, nadzór człowieka), ale co ważne, AI Bill of Rights nie jest prawem – to ramy polityki bez mocy wiążącej weforum.org. Aktualnie dotyczą przede wszystkim instytucji federalnych i stanowią wskazówkę, jak rząd powinien kupować i stosować AI. Można się spodziewać, że wyznaczają też pewien przykład dla biznesu – i faktycznie niektóre firmy zadeklarowały poparcie dla tych zasad. Jednak stosowanie się do nich jest dobrowolne; nie istnieją kary bezpośrednio związane z AI Bill of Rights.

Poza tym USA polegają na obowiązującym prawie w zwalczaniu najbardziej rażących nadużyć związanych z AI. Na przykład, Federalna Komisja Handlu (FTC) ostrzegła firmy, że może karać nieuczciwe lub wprowadzające w błąd praktyki dotyczące AI (np. nieprawdziwe twierdzenia o możliwościach AI lub stosowanie jej w sposób szkodzący konsumentom). Komisja ds. Równych Szans w Zatrudnieniu (EEOC) analizuje wpływ AI na naruszenia prawa pracy – np. jeśli AI systematycznie odrzuca starszych kandydatów, może to naruszać przepisy antydyskryminacyjne. Tak więc egzekwowanie prawa w USA opiera się obecnie na ogólnych ustawach, a nie na regulacjach specyficznych dla AI.

Jednak krajobraz w USA zaczyna się zmieniać. W latach 2023–2024 w Kongresie toczą się poważne dyskusje o regulacjach AI, napędzane gwałtownym rozwojem generatywnej AI. Wprowadzono wiele projektów ustaw (dotyczących m.in. oznaczania deepfake’ów, przejrzystości AI czy odpowiedzialności prawnej), choć żaden jeszcze nie przeszedł pełnej ścieżki legislacyjnej. Mówi się o utworzeniu federalnego instytutu ds. bezpieczeństwa AI lub przyznaniu agencjom nowych kompetencji w nadzorze nad AI. Możliwe, że USA wypracują bardziej konkretne regulacje AI w najbliższych latach, ale raczej będą to celowane przepisy niż jeden kompleksowy akt na wzór UE. USA zwykle reguluje sektorowo – np. AI stosowana w służbie zdrowia musi spełniać wytyczne FDA, które już dziś obejmują „oprogramowanie jako wyrób medyczny”, co dotyczy także wybranych algorytmów AI. Inny przykład: regulatorzy finansowi (takich jak CFPB czy OCC) interesują się modelami AI wykorzystywanymi w finansach i mogą egzekwować równość na podstawie obecnych przepisów branżowych.

Jednym z nielicznych obszarów, w których USA już zdecydowanie zadziałały, jest AI związana z bezpieczeństwem narodowym: Najnowsze rozporządzenie wykonawcze rządu USA wymaga od deweloperów zaawansowanych modeli AI przekazywania wyników testów bezpieczeństwa rządowi, jeśli ich modele mogą mieć znaczenie dla bezpieczeństwa narodowego (np. modelowanie niebezpiecznych czynników biologicznych). To bardziej ukierunkowane podejście niż w UE, która nie przewiduje szczególnego wyjątku bezpieczeństwa narodowego poza wykorzystaniem przez organy porządku publicznego.

Podsumowując, podejście USA jest obecnie łagodne i oparte na zasadach, z naciskiem na innowacyjność i obecne ramy prawne. Firmy są zachęcane (ale nie zobowiązane prawnie) do stosowania się do wytycznych etycznych. W przeciwieństwie do UE, która nałożyła obowiązek prawny wraz z kontrolami i karami, USA do tej pory ogranicza się do zaleceń i polega na mechanizmach rynkowych oraz ogólnym prawie. Kluczowa kwestią jest, czy USA zbliżą się do UE (uchwalając własny akt ustawowy lub zestaw zasad regulacyjnych). W USA słychać głosy zarówno za bardziej stanowczą regulacją (dla konkurencyjności i publicznego zaufania), jak i ostrzegające przed nadregulacją mogącą zahamować branżę. Możliwy jest kompromis: np. wymóg przejrzystości dla wybranych krytycznych systemów AI lub certyfikacja AI stosowanej w wrażliwych branżach bez wprowadzania pełnego systemu klasyfikacji ryzyka.

Regulacje i standardy AI w Chinach: Chiny mają zupełnie inny system polityczny, a ich zarządzanie AI odzwierciedla takie priorytety jak: stabilność społeczna, kontrola informacji i strategiczne przywództwo w AI. Chiny bardzo szybko rozwijają swoje ramy regulacyjne, stosując podejście surowe zwłaszcza wobec treści i wykorzystania AI, często realizowane poprzez rozporządzenia administracyjne.

Kluczowe elementy chińskiego podejścia to:

Obowiązkowa kontrola i cenzura treści AI: W sierpniu 2023 roku Chiny wprowadziły Tymczasowe środki dla usług generatywnej AI cimplifi.com. Zasady te wymagają, aby każda publicznie oferowana generatywna AI (np. chatboty lub generatory obrazów) gwarantowała, że udostępniane treści są zgodne z podstawowymi wartościami socjalistycznymi, są legalne i prawdziwe. Dostawcy muszą proaktywnie filtrować zabronione treści (wszystko, co może być uznane za wywrotowe, obsceniczne lub w inny sposób nielegalne zgodnie z chińskim reżimem cenzury). Oznacza to, że chińskie firmy AI budują rozbudowane mechanizmy moderacji treści. Przepisy wymagają też oznaczania treści wygenerowanych przez AI wtedy, gdy mogłyby one wprowadzać ludzi w błąd co do ich autentyczności cimplifi.com. Jest to bardzo podobne do unijnego wymogu oznaczania deepfake’ów, ale w Chinach jest to przedstawiane jako sposób zapobiegania dezinformacji mogącej prowadzić do niepokojów społecznych.
Rejestracja algorytmów: Nawet przed przepisami dotyczącymi generatywnej AI, w Chinach obowiązywały regulacje dotyczące algorytmów rekomendujących (od początku 2022 r.). Firmy musiały rejestrować swoje algorytmy w Administracji Cyberprzestrzeni Chin (CAC) i przekazywać informacje na temat ich działania. Ten centralny rejestr służy nadzorowi; władze chcą wiedzieć, jakie algorytmy są wykorzystywane, szczególnie te mające wpływ na opinię publiczną (np. algorytmy news feedów).
Weryfikacja tożsamości i kontrola danych: Chińskie przepisy często wymagają rejestracji użytkowników usług AI pod prawdziwym nazwiskiem (by zniechęcać do nadużyć i umożliwić identyfikację twórców treści). Dane wykorzystywane do trenowania AI, zwłaszcza takie, które mogą zawierać dane osobowe, podlegają ustawie o bezpieczeństwie danych oraz ustawie o ochronie danych osobowych. Firmy muszą więc także uwzględniać wymogi dostępu rządowego (władze mogą żądać udostępnienia danych oraz algorytmów w celach bezpieczeństwa).
Oceny bezpieczeństwa: W latach 2024-2025 narodowy komitet standaryzacyjny Chin (NISSTC) opublikował projekt wytycznych bezpieczeństwa dla generatywnej AI cimplifi.com. Określają one techniczne środki obsługi danych treningowych, bezpieczeństwa modeli itp., zgodnie z naciskiem władz na to, by AI nie była łatwa do niewłaściwego użycia ani nie generowała zakazanych treści. W marcu 2025 CAC przyjęła ostatecznie Przepisy dotyczące oznaczania treści wygenerowanej przez AI (jak wyżej), które od września 2025 r. będą nakładać obowiązek wyraźnego oznaczania każdej treści wygenerowanej przez AI cimplifi.com. Pokrywa się to z przepisami UE, choć w Chinach motywacja wynika także z chęci zwalczania „plotek” i utrzymywania kontroli nad przepływem informacji.
Szerokie ramy etyczne: Chiny publikują też zasady ogólne – np. w 2021 roku chińskie Ministerstwo Nauki i Technologii wydało wytyczne etyczne dla AI, które mówią o koncentracji na człowieku i kontroli nad AI. W 2022 Narodowy Komitet ds. Zarządzania AI (z udziałem różnych interesariuszy) opublikował dokument Zasady zarządzania AI akcentujący harmonię, sprawiedliwość i transparencję. W 2023 Chiny przyjęły Ramowe zasady bezpieczeństwa AI powiązane ze swoją inicjatywą AI na arenie międzynarodowej, podkreślające m.in. podejście zorientowane na ludzi i kategoryzację ryzyka cimplifi.com. Swoją formą przypomina to zasady OECD lub UE, co pokazuje, że Chiny też chcą uchodzić za promotorów „odpowiedzialnej AI”, choć w ich znaczeniu (np. „sprawiedliwość” w Chinach oznacza m.in. brak uprzedzeń wobec mniejszości etnicznych, ale też zapewnienie, że AI nie zagraża jedności państwa).
Ścisłe wykorzystanie przez organy ścigania (lub nadużycia): Podczas gdy UE zakazuje wielu zastosowań biometrii w czasie rzeczywistym, Chiny przodują we wdrażaniu AI do nadzoru (np. rozpoznawanie twarzy w przestrzeni publicznej, monitoring „inteligentnych miast” itd.). Obowiązują tam pewne przepisy, by wykorzystywanie przez policję było uzasadnione i pod kontrolą, jednak państwo ma tu szerokie uprawnienia. System oceny społecznej istnieje w uproszczonej formie (głównie jako system kredytowy i rejestr sądowy), choć nie jest tak zaawansowany, jak często się uważa, a UE explicite zakazała „oceniania społecznego” w rozumieniu systemowym.

Innymi słowy, regulacje Chin są surowe pod względem kontroli treści i wytycznych etycznych, ale wdrażane odgórnie. Jeśli unijny akt ma na celu wzmocnienie praw jednostki i odpowiedzialność proceduralną, podejście Chin skupia się na kontroli dostawców i upewnieniu się, że AI nie zakłóci celów państwowych. Dla firm zgodność w Chinach oznacza ścisłą współpracę z władzami, budowanie filtrów cenzury i mechanizmów raportowania oraz dostosowanie do narodowych celów (np. wykorzystywanie AI do rozwoju gospodarczego, ale nie do podburzania).

Można powiedzieć, że chiński reżim jest „surowy, lecz inny”: nie podkreśla jawności wobec obywatela (przeciętny chiński użytkownik nie dostaje wyjaśnień dotyczących decyzji AI), lecz naciska na możliwość prześledzenia i dostęp władz do systemów AI. Także bezpośrednio zakazuje zastosowań, które na Zachodzie bywają dopuszczalne (np. niektóre formy wypowiedzi politycznej przez AI).

Chińskie firmy AI, takie jak Baidu czy Alibaba, musiały wycofywać lub przeuczać modele, które generowały treści politycznie wrażliwe. Rozwój dużych modeli w Chinach jest silnie poddany tym regulacjom – firmy filtrują dane treningowe, by usuwać tematy tabu i dostrajają modele, by unikały określonych tematów.

Co ciekawe, niektóre z chińskich wymogów (jak oznaczanie deepfake’ów) pokrywają się z unijnymi, choć stoją za nimi trochę inne motywacje. Wskazuje to na możliwy obszar konwergencji technicznych standardów – oznaczanie mediów generowanych przez AI może stać się globalnym standardem, nawet jeśli powody do jego wdrażania są inne (UE: by chronić przed oszustwem; Chiny: to oraz utrzymanie kontroli).

Inne kraje: Poza tą trójką warto wymienić:

Kanada: Jak wcześniej wspomniano, Kanada zaproponowała Artificial Intelligence and Data Act (AIDA) w ramach ustawy C-27 cimplifi.com. Celowała ona w systemy AI o „wysokim wpływie”, wprowadzając wymóg oceny skutków i pewne zakazy. Jednak projekt utknął (na początku 2025 nie został uchwalony i praktycznie „umarł” w Parlamencie cimplifi.com). Kanada może do tematu wrócić później. Na razie stosuje się do zasad m.in. z racji członkostwa w OECD.
Wielka Brytania: Wielka Brytania, rezygnując z podejścia UE, w marcu 2023 opublikowała Białą księgę nt. regulacji AI stawiając na innowacyjność i umiarkowane przepisy. Plan UK polega na tym, by istniejący regulatorzy (np. Health and Safety Executive, Financial Conduct Authority itd.) wydawali wytyczne AI dla swoich branż, bazując na wspólnych zasadach (bezpieczeństwo, przejrzystość, sprawiedliwość, odpowiedzialność, możliwość zaskarżenia) cimplifi.com. Celowo zdecydowano, by na razie nie uchwalać nowej ustawy AI. Brytyjczycy obserwują jak sprawdzają się regulacje UE i mogą się dostosować, ale chcą zachować elastyczność, by przyciągać biznes. Ponadto organizują Szczyt Bezpieczeństwa AI (odbył się w listopadzie 2023), by zaakcentować swą pozycję w globalnej debacie o AI. Podejście UK oznacza mniej ograniczeń na początku, lecz może się to zmienić, jeśli zagrożenia AI się zmaterializują.
Inni w orbicie UE: Rada Europy (szersza niż sama UE) pracuje nad Konwencją AI, która może stać się traktatem prawnym o etyce i prawach człowieka wobec AI – negocjacje trwają, a w razie uzgodnienia podpisane państwa (również pozaunijne) zobowiążą się do przestrzegania zasad zbliżonych do zasad UE, ale na wyższym poziomie ogólności.
Indie, Australia itd.: Wiele krajów opublikowało wytyczne etyczne dotyczące AI. Indie przyjęły podejście ramowe i nastawione na innowacje, obecnie nie planują osobnej ustawy o AI, skupiają się na budowaniu potencjału oraz zaleceniach sektorowych. Australia opracowuje ramy oparte na ocenie ryzyka, ale jeszcze nie przewiduje twardej ustawy. Trend ogólny: wszyscy dostrzegają potrzebę regulacji AI, lecz zakres obligatoryjności różni się w zależności od kraju.
Forum globalne: Rekomendacja UNESCO dotycząca etyki AI (2021) została przyjęta przez niemal 200 krajów i określa takie zasady jak proporcjonalność, bezpieczeństwo, sprawiedliwość itd. Jest niewiążąca, ale pokazuje globalną zgodność co do wartości. Zasady OECD dotyczące AI (2019) podobnie zostały masowo przyjęte i zainspirowały G20. Są one bardzo zbieżne z tym, co proponuje Unia Europejska. Problemem pozostaje wdrożenie podobnych praktyk ponad granicami państw.

World Economic Forum oraz inne organizacje również ułatwiają międzynarodowy dialog. Jak wspomniano w artykule WEF, otwarta jest kwestia, czy mamy do czynienia ze scenariuszem całkowitego rozjazdu („path-departing”, w którym USA, Chiny i UE idą własnymi ścieżkami regulacji) czy efektem domina, w którym działania UE pociągają innych do podążania jej śladem weforum.org seniorexecutive.com. Są dowody na oba zjawiska: UE wyraźnie wpłynęła na Brazylię i Kanadę; USA być może pod wpływem presji z UE łagodzą swoje stanowisko (np. dyskusja USA o większej transparentności może być odpowiedzią na naciski UE); z Chinami jest tylko częściowe zbieżności (wspólne pomysły na standardy techniczne, ale brak aspektu demokratyzacyjnego).

Podsumowując, uproszczone porównanie może wyglądać następująco:

UE: Kompleksowe, prawnie wiążące regulacje obejmujące różne sektory, oparte na analizie ryzyka; skupienie na prawach podstawowych, silne egzekwowanie prawa (kary finansowe, organy nadzoru).
USA: Brak jednej ustawy (stan na 2025 r.); opieranie się na szerokich zasadach (AI Bill of Rights) i sektorowym egzekwowaniu prawa; nacisk na innowacje i istniejące ramy ochrony prawnej; na razie większa samoregulacja branżowa.
Chiny: Szczegółowe przepisy rządowe mające na celu kontrolę wyników i zastosowań SI; nacisk na bezpieczeństwo, cenzurę i nadzór państwowy; obowiązkowa zgodność z normami etycznymi ustalonymi przez państwo; egzekwowanie prawa przez agencje rządowe z surowymi karami (w tym karnymi, jeśli naruszone zostaną przepisy państwowe).

Pomimo różnic, wszystkie trzy jurisdikcje dostrzegają kwestie takie jak stronniczość, bezpieczeństwo i przejrzystość — po prostu inaczej je priorytetyzują i egzekwują. Dla globalnej firmy oznacza to konieczność poruszania się w ramach trzech reżimów: stosować się do proceduralnych wymogów UE, śledzić wytyczne amerykańskie i nowe przepisy stanowe oraz wdrażać chińskie zasady dotyczące treści oraz wymogi rejestracyjne w przypadku prowadzenia tam działalności. To wyzwanie, a w forach międzynarodowych pojawi się presja, by zmniejszyć obciążenia poprzez harmonizację niektórych aspektów (np. opracowanie wspólnych standardów technicznych zarządzania ryzykiem SI, które zadowolą regulatorów w wielu jurysdykcjach).

Jedna optymistyczna oznaka: współpraca dotycząca standardów SI (standardy techniczne tworzone przez ISO/IEC lub inne podmioty) może pozwolić firmie opracować SI według jednego zestawu specyfikacji, który zostanie szeroko zaakceptowany. Akt UE nawet wspomina, że przestrzeganie zharmonizowanych europejskich standardów (gdy już powstaną dla SI) będzie dawało domniemanie zgodności artificialintelligenceact.eu. Jeśli te standardy będą zbieżne z globalnymi, firma będzie mogła “zbudować raz, być zgodna na całym świecie.”

Na koniec, patrząc w przyszłość, wraz z rozwojem technologii SI (np. pojawienie się GPT-5 lub bardziej autonomicznych systemów SI) regulacje również będą się zmieniać. UE wprowadziła mechanizmy przeglądowe umożliwiające aktualizację Aktu. USA czy inne państwa mogą uchwalić nowe prawo, jeśli wystąpi jakiś poważny incydent związany z SI (podobnie jak wycieki danych doprowadziły do wzmocnienia przepisów dotyczących prywatności). Międzynarodowa harmonizacja może być również wymuszona koniecznością – na przykład jeśli SI zacznie mieć istotny wpływ transgraniczny (jak kryzys finansowy wywołany SI lub coś podobnego), państwa będą musiały współpracować w celu jego rozwiązania.

Na ten moment każda organizacja chcąca “wyprzedzić” innych w obszarze SI, musi monitorować wszystkie te kierunki: zgodność z wymogami UE jest niezbędna dla dostępu do tamtejszego rynku, najlepsze praktyki amerykańskie kluczowe dla tego wielkiego rynku, a zrozumienie wymagań Chin jest nieodzowne dla firm działających w Państwie Środka. Proaktywne podejście – wdrażanie zasad etyki i bezpieczeństwa SI wewnątrz firmy – pozwoli lepiej radzić sobie z różnorodnością reżimów. Często oznacza to stworzenie wewnętrznych ram zarządzania SI zgodnych z najsurowszymi standardami (najczęściej unijnymi), a następnie wprowadzanie lokalnych modyfikacji w zależności od regionu.

Podsumowując: Akt o SI UE, od 2025 roku, wyznacza tempo regulacji SI, a choć niesie wyzwania, oferuje też uporządkowaną ścieżkę do budowy godnych zaufania rozwiązań SI. Firmy i rządy na całym świecie przyglądają się i reagują – niektórzy zaostrzając swoje regulacje, inni stawiając na innowacje. Najbliższe lata pokażą, jak te podejścia będą się przeplatać oraz czy uda się osiągnąć bardziej spójne, globalne zarządzanie, czy też twórcy SI będą zmuszeni żeglować po rozdrobnionym świecie przepisów. Tak czy inaczej, ci, którzy pozostaną na bieżąco i przygotują się z wyprzedzeniem – zrozumieją niuanse Aktu UE, zainwestują w kompetencje ds. zgodności oraz będą zaangażowani w dialog polityczny – będą mieli największe szanse na sukces w nowej erze nadzoru nad SI.

Źródła:

Parlament Europejski, “EU AI Act: first regulation on artificial intelligence,” czerwiec 2024 europarl.europa.eu europarl.europa.eu.
Komisja Europejska, “Shaping Europe’s Digital Future – AI Act,” aktualizacja 2025 digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu.
Future of Life Institute, “High-Level Summary of the AI Act,” maj 2024 artificialintelligenceact.eu artificialintelligenceact.eu.
Orrick Law, “The EU AI Act: Oversight and Enforcement,” 13 września 2024 orrick.com orrick.com.
Senior Executive Media, “How the EU AI Act Will Reshape Global Innovation,” 2023 seniorexecutive.com seniorexecutive.com.
World Economic Forum, “What’s in the US ‘AI Bill of Rights’,” październik 2022 weforum.org weforum.org.
Cimplifi, “The Updated State of AI Regulations for 2025,” sierpień 2024 cimplifi.com cimplifi.com.
BSR, “The EU AI Act: Where Do We Stand in 2025?” 6 maja 2025 bsr.org bsr.org.