Sztuczna inteligencja wchodzi w etap, w którym nie wystarczy już powiedzieć: „to tylko narzędzie". W Unii Europejskiej AI staje się regulowanym sektorem gospodarki — podobnie jak finanse, leki, energetyka czy ochrona danych. Kluczowym aktem jest AI Act, czyli rozporządzenie 2024/1689. Weszło w życie 1 sierpnia 2024 r., ale jego obowiązki uruchamiane są etapami: zakazane praktyki i obowiązek kompetencji AI od 2 lutego 2025 r., przepisy dla modeli ogólnego przeznaczenia od 2 sierpnia 2025 r., większość obowiązków od 2 sierpnia 2026 r., a część dotycząca systemów wysokiego ryzyka w produktach — od 2 sierpnia 2027 r.
Największa zmiana polega na tym, że Europa nie reguluje „AI jako takiej", lecz ryzyko jej użycia. Chatbot do obsługi klienta to jedno. Algorytm decydujący o kredycie, pracy, dostępie do świadczeń albo ocenie ucznia — coś zupełnie innego.
01 / UE: cztery piętra ryzyka
Unijny AI Act dzieli systemy AI na kilka poziomów.
Najostrzej traktowane są praktyki zakazane. Chodzi m.in. o manipulację podprogową, wykorzystywanie słabości osób wrażliwych, scoring społeczny, niektóre formy biometrii i predykcyjnego policyjnego typowania osób. Komisja Europejska wydała osobne wytyczne dotyczące tych zakazów, podkreślając, że chodzi o praktyki sprzeczne z wartościami UE i prawami podstawowymi.
Drugie piętro to systemy wysokiego ryzyka. Tu znajdują się m.in. AI w rekrutacji, edukacji, infrastrukturze krytycznej, usługach finansowych, medycynie, administracji publicznej, migracji, wymiarze sprawiedliwości i procesach demokratycznych. Takie systemy będą musiały mieć dokumentację, ocenę ryzyka, kontrolę jakości danych, rejestry działania, nadzór człowieka, odpowiednią dokładność i cyberbezpieczeństwo.
Trzecie piętro to obowiązki przejrzystości. Obywatel ma wiedzieć, że rozmawia z chatbotem. Deepfake ma być oznaczony. Treści syntetyczne w sprawach publicznych nie powinny udawać neutralnego materiału dziennikarskiego czy obywatelskiego.
Czwarte piętro to modele ogólnego przeznaczenia (GPAI), czyli fundamenty współczesnej generatywnej AI: duże modele językowe, modele obrazowe, systemy multimodalne. Od 2 sierpnia 2025 r. nowe modele tego typu muszą spełniać obowiązki dotyczące przejrzystości i praw autorskich, a szczególnie silne modele o ryzyku systemowym mają dodatkowe wymogi bezpieczeństwa. Komisja opublikowała też kodeks praktyk dla GPAI, obejmujący trzy obszary: przejrzystość, prawa autorskie oraz bezpieczeństwo.
02 / Największy konkret: kary
AI Act ma zęby. Za najcięższe naruszenia, zwłaszcza stosowanie zakazanych praktyk, kary mogą sięgać 35 mln euro albo 7% globalnego rocznego obrotu przedsiębiorstwa — zależnie od tego, która kwota jest wyższa. To poziom sankcji, który ma znaczenie nie tylko dla start-upów, ale też dla globalnych gigantów technologicznych.
„AI compliance" przestaje być dodatkiem do prezentacji zarządu, a staje się elementem ryzyka strategicznego.
03 / Polska: KRiBSI, czyli nowy nadzorca algorytmów
Polska nie tworzy własnego, konkurencyjnego wobec UE prawa o AI. Tworzy ustawę, która ma wdrożyć krajowy system nadzoru nad AI Act. 31 marca 2026 r. Rada Ministrów przyjęła projekt ustawy o systemach sztucznej inteligencji i skierowała go do dalszych prac parlamentarnych.
Najważniejszą instytucją ma być Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI). To ona ma prowadzić postępowania, wydawać decyzje, nakładać sankcje i nadzorować zgodność systemów AI z prawem. Projekt przewiduje też możliwość składania skarg przez obywateli, jeśli uznają, że system AI naruszył przepisy.
To ważne, bo bez krajowego organu AI Act pozostawałby w dużej mierze papierowym tygrysem. Regulacja europejska daje ramy, ale to państwa członkowskie muszą zbudować aparat egzekucji.
04 / To nie będzie tylko „urząd od kar"
Projekt przewiduje też piaskownice regulacyjne. To kontrolowane środowiska, w których firmy — zwłaszcza start-upy i MŚP — będą mogły testować rozwiązania AI pod nadzorem regulatora. To potencjalnie bardzo ważne. Dobrze zaprojektowana piaskownica może przyciągać innowacje. Źle zaprojektowana stanie się kolejnym formularzem do wypełnienia.
I tu pojawia się pierwsza opinia: Polska ma szansę nie tylko wdrożyć AI Act, ale zbudować reputację kraju, w którym AI można testować legalnie, szybko i bez administracyjnej paranoi. Warunek jest jeden: KRiBSI nie może stać się urzędem, który rozumie sztuczną inteligencję wyłącznie przez pryzmat zakazów.
05 / Prawa obywateli: wiedzieć, skarżyć, nie być ocenianym po cichu
Dla obywatela AI Act oznacza kilka realnych praw.
Po pierwsze, prawo do informacji. Jeżeli rozmawiamy z botem, mamy to wiedzieć. Jeżeli oglądamy deepfake, powinien być oznaczony. Jeżeli AI wpływa na decyzję w ważnej sprawie — pracy, kredytu, edukacji, świadczeń — nie powinna działać jak niewidzialny sędzia.
Po drugie, prawo do bezpieczeństwa. Systemy wysokiego ryzyka będą musiały być projektowane tak, by minimalizować błędy, dyskryminację i nadużycia.
Po trzecie, prawo do skargi. Polski projekt zakłada, że obywatel będzie mógł zgłaszać naruszenia do KRiBSI.
Po czwarte, prawo do prywatności. UODO podkreśla, że wdrażanie AI Act musi być spójne z Konstytucją RP, RODO i prawem do prywatności oraz ochrony danych osobowych.
06 / Obowiązki obywateli? Głównie świadomość
Zwykły obywatel nie będzie musiał prowadzić rejestru modeli AI ani pisać dokumentacji technicznej. Ale będzie musiał nauczyć się żyć w świecie, w którym obraz, głos i tekst mogą być syntetyczne. Nową kompetencją obywatelską stanie się pytanie: czy to powiedział człowiek, czy system? Czy ten film jest dowodem, czy produktem modelu?
To będzie równie ważne jak kiedyś umiejętność czytania gazety, potem obsługi internetu, a później rozpoznawania phishingu.
07 / Biznes: szansa czy hamulec? Oba naraz
Dla biznesu AI Act jest jednocześnie szansą i problemem.
Szansa polega na tym, że firmy zgodne z prawem będą mogły budować zaufanie. W branżach takich jak finanse, HR, medycyna, edukacja, ubezpieczenia czy administracja publiczna klient będzie pytał: „czy wasz system AI jest zgodny z AI Act?". Kto będzie miał gotową dokumentację, ocenę ryzyka, politykę danych, procedury nadzoru i oznaczania treści, ten wygra z konkurentem działającym chaotycznie.
Zagrożenie to koszt. Małe firmy mogą odczuć regulację mocniej niż korporacje. Duży bank zatrudni prawników, specjalistów compliance i audytorów. Start-up może mieć świetny produkt, ale nie mieć budżetu na pełną dokumentację. Dlatego piaskownice regulacyjne i jasne wytyczne będą kluczowe.
Trzy obszary największego ryzyka praktycznego
- HR i rekrutacja. AI sortująca kandydatów może wpaść w kategorię wysokiego ryzyka. Firma będzie musiała wiedzieć, czy algorytm nie dyskryminuje ze względu na płeć, wiek, niepełnosprawność czy pochodzenie.
- Finanse i scoring. AI oceniająca zdolność kredytową albo ryzyko ubezpieczeniowe będzie wymagała wysokiej przejrzystości i kontroli.
- Marketing i deepfake. Tanie generowanie głosu, twarzy i wideo stworzy pokusę „kreatywnej komunikacji". Ale nieoznaczony deepfake może stać się bombą reputacyjną.
08 / Big Tech nie jest zachwycony
Regulacja wywołuje napięcia między UE a największymi firmami technologicznymi. Meta odmówiła podpisania dobrowolnego kodeksu praktyk dla modeli ogólnego przeznaczenia, argumentując, że tworzy on niepewność prawną i wykracza poza AI Act. OpenAI zapowiadało natomiast zamiar podpisania kodeksu.
To pokazuje prawdziwą stawkę sporu. Europa mówi: „bezpieczeństwo i prawa obywatelskie". Część biznesu odpowiada: „ryzykujecie spowolnienie innowacji". Obie strony mają trochę racji. Nadmierna regulacja może wypchnąć innowacje poza Europę. Brak regulacji może doprowadzić do masowych nadużyć, dyskryminacji i kryzysu zaufania.
09 / Moja ocena
AI Act jest potrzebny, ale jego sukces nie zależy od samego tekstu rozporządzenia. Zależy od jakości egzekucji. Jeżeli urzędy będą kompetentne, szybkie i technicznie przygotowane, Europa może stworzyć globalny standard „bezpiecznej AI". Jeżeli jednak nadzór będzie powolny, niejasny i formalistyczny, AI Act stanie się kolejną barierą, którą najlepiej ominą najwięksi — bo mają prawników — a najmocniej odczują mali.
Polska stoi przed podobnym wyborem. KRiBSI może być nowoczesnym regulatorem, który pomaga rozumieć ryzyko. Może też stać się kolejną instytucją produkującą niepewność. Różnica będzie ogromna.
10 / Puenta
Era „dzikiej AI" w Europie się kończy. Algorytmy nie znikną z rekrutacji, bankowości, medycyny, edukacji, mediów ani administracji. Ale będą musiały zostawić ślad: dokumentację, oznaczenie, odpowiedzialnego dostawcę, nadzór człowieka i możliwość skargi.
Dla obywateli to dobra wiadomość, choć nie rozwiąże wszystkich problemów. Dla biznesu to test dojrzałości. Kto dziś traktuje AI jako zabawkę, jutro może mieć problem. Kto potraktuje ją jak regulowaną technologię z realnym wpływem na ludzi, może zbudować przewagę na lata.
AI Act dzieli systemy AI na cztery piętra ryzyka i wprowadza kary do 35 mln euro lub 7% obrotu globalnego. W Polsce egzekucję przejmie nowa Komisja Rozwoju i Bezpieczeństwa SI (KRiBSI), której projekt rząd przyjął w marcu 2026 r. Dla obywateli oznacza to prawo do informacji, skargi i ochrony przed niewidzialnymi decyzjami algorytmów; dla firm — koniec ery „dzikiej AI" i konieczność realnego compliance, ale też szansę zbudowania zaufania.