Sztuczna inteligencja weszła do firm szybciej niż regulacje. Najpierw pojawiły się narzędzia do pisania, obsługi klienta i analizy danych. Później doszły systemy do filtrowania CV, oceny klientów i wspierania decyzji biznesowych. Teraz do gry wchodzi prawo.
I właśnie tu wiele firm może się zdziwić.
Bo AI Act nie jest regulacją tylko dla twórców modeli i gigantów technologicznych. W praktyce może dotyczyć także firm, które po prostu korzystają z gotowych rozwiązań AI — zwłaszcza wtedy, gdy wpływają one na ludzi, ważne decyzje albo dostęp do usług. Oficjalne materiały UE wskazują, że obowiązki zależą od roli podmiotu i konkretnego zastosowania systemu, a nie od samej etykiety „firma technologiczna”.
Nie branża ma znaczenie. Liczy się sposób użycia AI
Najważniejsze pytanie nie brzmi dziś: „czy jesteśmy firmą technologiczną?”. Dużo ważniejsze jest inne: „do czego dokładnie używamy AI?”
To właśnie od zastosowania zależy, czy firma może wejść w obszar nowych obowiązków. Nie każde użycie AI będzie problemem. Ale są obszary, które od razu powinny zapalić czerwoną lampkę. W załączniku III AI Act jako obszary wysokiego ryzyka wymieniono m.in. biometrię, edukację, zatrudnienie, dostęp do części usług publicznych i prywatnych, organy ścigania, migrację, wymiar sprawiedliwości i infrastrukturę krytyczną.
Te zastosowania AI są dziś najbardziej wrażliwe
Na pierwszej linii są firmy, które wykorzystują AI w procesach związanych z ludźmi i oceną ryzyka.
Rekrutacja i HR
Jeśli system pomaga filtrować kandydatów, analizować CV, porządkować zgłoszenia albo wspiera decyzje kadrowe, temat robi się poważny. To jeden z tych obszarów, które najczęściej pojawiają się w kontekście systemów wysokiego ryzyka. Załącznik III wprost obejmuje AI wykorzystywaną przy rekrutacji, selekcji osób, podejmowaniu decyzji wpływających na warunki pracy czy dostęp do samozatrudnienia.
Finanse i scoring klientów
Równie wrażliwe są wszystkie zastosowania, w których AI ocenia klienta, analizuje jego wiarygodność albo wpływa na decyzje dotyczące kredytu czy dostępu do usługi. W oficjalnym katalogu unijnym pojawiają się systemy używane do oceny zdolności kredytowej i oceny ryzyka, jeśli mogą wpływać na dostęp osoby do istotnych usług.
Ubezpieczenia i ocena ryzyka
Jeśli algorytm pomaga oceniać klienta lub ryzyko, także może wejść w obszar szczególnego zainteresowania regulatora. Tu znów nie chodzi o samą branżę, ale o to, czy system wpływa na dostęp do ważnej usługi albo ocenę osoby.
Dostawcy oprogramowania
To pułapka, o której wiele firm zapomina. Nawet jeśli spółka sama nie zatrudnia ludzi na podstawie AI ani nie przyznaje kredytów, może dostarczać narzędzie, które ktoś inny wykorzystuje właśnie do takich celów. A to oznacza, że jej rola w łańcuchu wartości też może podlegać obowiązkom wynikającym z AI Act.
Gotowe narzędzie też może oznaczać problem
Wiele firm myśli w prosty sposób: nie stworzyliśmy własnego modelu, więc temat nas nie dotyczy. To może być błędne założenie.
Nowe przepisy nie patrzą wyłącznie na autora technologii. Znaczenie ma też to, kto z niej korzysta i w jakim celu. Można więc kupić gotowe rozwiązanie od zewnętrznego dostawcy, a mimo to wejść w obszar obowiązków wynikających z AI Act.
Największy błąd? Traktować AI jak niewinny dodatek
To właśnie tu może pojawić się największy problem. W firmach AI często działa po cichu: pomaga porządkować dane, grupować zgłoszenia, nadawać priorytety, sortować kandydatów albo wspierać ocenę klientów.
Na papierze to tylko „wsparcie”. W praktyce taki system może realnie wpływać na decyzję o zatrudnieniu, przyznaniu usługi albo ocenie człowieka.
A wtedy przestaje być tylko wygodnym dodatkiem. To właśnie logika załącznika III: kluczowe jest nie modne hasło w ofercie dostawcy, ale rzeczywisty wpływ systemu na ludzi i decyzje.
Co firma powinna sprawdzić już teraz
Na początek nie potrzeba kosztownego audytu ani wielkiego projektu compliance. Wystarczy uporządkować podstawy.
Najpierw warto zrobić listę wszystkich narzędzi AI używanych w organizacji. Potem odpowiedzieć na kilka prostych pytań:
- do czego dokładnie służy dane narzędzie,
- kto z niego korzysta,
- czy pomaga podejmować decyzje dotyczące ludzi,
- czy wpływa na zatrudnienie, kredyt, ubezpieczenie albo dostęp do ważnej usługi,
- czy firma potrafi wyjaśnić, jaką rolę AI odgrywa w tym procesie.
To praktyczny wniosek z konstrukcji AI Act: obowiązki zależą od kategorii systemu i roli firmy, więc bez podstawowej inwentaryzacji nie da się ocenić realnego ryzyka.
Problemem będzie nie tylko technologia, ale też chaos
W praktyce wiele firm może przegrać nie przez sam algorytm, ale przez brak wiedzy, gdzie AI w ogóle działa. Często narzędzia są wdrażane lokalnie, w działach HR, sprzedaży, marketingu czy obsługi klienta. Potem nikt nie ma pełnego obrazu.
A nowe przepisy premiują coś odwrotnego: porządek, dokumentację, nadzór i świadomość tego, do czego system jest używany. Oficjalne materiały Komisji podkreślają, że AI Act jest wdrażany etapami i wymaga przygotowania organizacyjnego, a nie tylko technologicznego.
AI Act to nie tylko problem Big Techów
To chyba najważniejszy wniosek.
W debacie publicznej AI Act bywa przedstawiany jak pojedynek Unii z największymi firmami technologicznymi. Tymczasem dla wielu przedsiębiorstw ważniejsze będzie coś znacznie bardziej przyziemnego: czy używany od dawna system do HR, oceny klienta albo analizy ryzyka nie wpada właśnie pod nowe zasady.
Dla części biznesu pytanie nie brzmi już więc: czy AI Act nas dotyczy.
Coraz częściej brzmi raczej tak: czy my już dziś używamy AI w sposób, który może stać się problemem.
FAQ. Pytania i odpowiedzi
Czy AI Act dotyczy tylko firm technologicznych?
Nie. Przepisy mogą dotyczyć także firm spoza branży IT, jeśli używają AI w obszarach takich jak rekrutacja, scoring klientów, ocena ryzyka czy dostęp do ważnych usług. AI Act obejmuje nie tylko twórców systemów, ale też ich użytkowników, importerów i dystrybutorów.
Czy samo korzystanie z gotowego narzędzia AI może podpadać pod przepisy?
Tak. Firma nie musi budować własnego modelu, żeby wejść w obszar regulacji. Wystarczy, że korzysta z gotowego systemu AI w zastosowaniach objętych przepisami, zwłaszcza tam, gdzie algorytm wpływa na ludzi lub ważne decyzje.
Które zastosowania AI są dziś najbardziej wrażliwe?
Najwięcej uwagi powinny poświęcić firmy używające AI w zatrudnieniu i HR, przy ocenie osób, dostępie do usług prywatnych i publicznych, w finansach, ubezpieczeniach, edukacji, biometr ii, wymiarze sprawiedliwości czy infrastrukturze krytycznej. To właśnie te obszary są wymienione w załączniku III AI Act jako przykłady systemów wysokiego ryzyka.
Od kiedy firmy powinny traktować temat poważnie?
Już teraz. Oficjalna oś czasu Komisji Europejskiej pokazuje, że AI Act jest wdrażany etapami, a większość zasad ma zacząć obowiązywać od 2 sierpnia 2026 r. Pełny rollout przewidziano do 2 sierpnia 2027 r.
Czy terminy mogą się jeszcze zmienić?
Tak. Komisja Europejska opublikowała propozycję uproszczeń w ramach Digital Omnibus on AI. To oznacza, że część terminów może jeszcze być przedmiotem zmian legislacyjnych, ale na dziś oficjalny harmonogram nadal pokazuje 2 sierpnia 2026 r. jako kluczową datę dla większości obowiązków.
ŹRÓDŁA
Komisja Europejska - AI Act Service Desk:
https://ai-act-service-desk.ec.europa.eu/en/ai-act/timeline/timeline-implementation-eu-ai-act
Komisja Europejska - Annex III:
https://ai-act-service-desk.ec.europa.eu/en/ai-act/annex-3
Komisja Europejska - Digital Omnibus on AI Regulation Proposal:
https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-ai-regulation-proposal
Ministerstwo Cyfryzacji - projekt ustawy o systemach sztucznej inteligencji:
https://www.gov.pl/web/cyfryzacja/projekt-ustawy-o-systemach-sztucznej-inteligencj
