Akt o sztucznej inteligencji (AI Act) to przełomowe rozporządzenie Unii Europejskiej, którego założeniem jest stworzenie kompleksowych ram prawnych dotyczących rozwoju, wdrażania i stosowania systemów sztucznej inteligencji. Artykuł 1 wskazuję, iż celem rozporządzenia jest poprawa funkcjonowania rynku wewnętrznego i promowanie upowszechniania zorientowanej na człowieka i godnej zaufania sztucznej inteligencji (AI), przy jednoczesnym zapewnieniu wysokiego poziomu ochrony zdrowia, bezpieczeństwa, praw podstawowych zapisanych w Karcie, w tym demokracji, praworządności i ochrony środowiska, przed szkodliwymi skutkami systemów AI w Unii oraz wspieraniu innowacji.
Przyjęty przez Parlament Europejski w 2024 r., AI Act stanowi pierwszy na świecie akt prawny regulujący AI w sposób tak całościowy. Ma on zapewnić, aby sztuczna inteligencja była bezpieczna, transparentna, etyczna i zgodna z prawami człowieka.
AI Act wprowadza klasyfikację systemów AI według poziomu ryzyka, jakie za sobą pociągają oraz wpływu jaki mogą wywierać na użytkownikach. Należy wskazać, iż wysokim rygorom podlegają szczególnie te systemy, które mogą wpływać na zdrowie, bezpieczeństwo lub prawa obywateli.
Co istotne, zakres stosowania AI Act nie ogranicza się wyłącznie do podmiotów mających siedzibę na terytorium Unii Europejskiej. Przepisy obejmują również przedsiębiorców spoza UE, o ile ich systemy sztucznej inteligencji są wprowadzone do obrotu lub wykorzystywane na rynku unijnym. Rozporządzenie przewiduje kilka kategorii uczestników rynku, na których nakładane są zróżnicowane obowiązki w szczególności dostawców, użytkowników systemów AI, importerów, dystrybutorów oraz producentów. W praktyce jednak największe znaczenie regulacje te będą miały dla dwóch grup: podmiotów opracowujących i dostarczających systemy sztucznej inteligencji oraz organizacji, które je wdrażają i stosują w swojej działalności. AI Act nie tylko nakłada obowiązki na twórców i dostawców sztucznej inteligencji, ale też promuje odpowiedzialne innowacje poprzez wspieranie tzw. „piaskownic regulacyjnych” czyli, środowisk testowych, w których nowe technologie mogą być rozwijane z poszanowaniem zasad bezpieczeństwa.
Rozporządzenie AI Act zacznie być stosowane od dnia 2 sierpnia 2026 r., jednakże część zapisów zgodnie z art. 113 miało zastosowanie już wcześniej. Bowiem od 2 lutego 2025 r., rozpoczęto stosowanie przepisów rozdziału I (Przepisy Ogólne) oraz II (Zakazane Praktyki). Zakazanymi praktykami w zakresie AI jest przykładowo wprowadzanie do obrotu, oddawania do użytku lub wykorzystywania systemu AI, które stosuje techniki podprogowe będące poza świadomością danej osoby lub celowe techniki manipulacyjne lub wprowadzające w błąd, czego celem lub skutkiem jest dokonanie znaczącej zmiany zachowania danej osoby lub grupy osób poprzez znaczące ograniczenie ich umiejętności podejmowania świadomych decyzji, powodując tym samym podjęcie przez nie decyzji, której inaczej by nie podjęły, w sposób, który wyrządza lub może wyrządzić u niej, u innej osoby lub u grupy osób poważną szkodę.
Szczególne znaczenie dla cyberbezpieczeństwa i ochrony danych osobowych mają także ograniczenia dotyczące systemów biometrycznych. AI Act w zasadzie zakazuje wykorzystywania systemów zdalnej identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej, z wyjątkiem ściśle określonych sytuacji, takich jak poszukiwanie osób zaginionych, zapobieganie atakom terrorystycznym czy ściganie najpoważniejszych przestępstw. Takie użycie jest dopuszczalne wyłącznie po uzyskaniu zgody niezależnego organu lub sądu oraz przy zachowaniu zasad proporcjonalności i minimalizacji danych.
Rozporządzenie zakazuje również tzw. systemów „social scoring”, czyli mechanizmów oceniających obywateli na podstawie ich zachowań, cech osobistych lub preferencji, w sposób mogący prowadzić do nieproporcjonalnego lub niesprawiedliwego traktowania. Takie praktyki uznano za szczególnie ryzykowne z punktu widzenia ochrony prywatności, równości i wolności obywatelskich.
Celem tych regulacji jest zabezpieczenie obywateli przed nadużyciami technologicznymi i zapewnienie, by systemy sztucznej inteligencji działały w sposób przejrzysty, kontrolowany i zgodny z wartościami demokratycznymi. AI Act jednoznacznie wskazuje, iż postęp technologiczny nie może odbywać się kosztem praw człowieka ani bezpieczeństwa cyfrowego.
2 sierpnia 2025 r. zastosowanie znalazły przepisy zawarte w rozdziale III sekcji 4, V, VII, XII oraz art. 78, z wyjątkiem art. 101. W dużej mierze przepisy te odnoszą się do modeli AI ogólnego przeznaczenia oraz kar za naruszenie przepisów rozporządzenia. W tym miejscu należy wskazać czym są Modele AI ogólnego przeznaczenia, bowiem są to modele które wykazują znaczną ogólność i są w stanie kompetentnie wykonywać szeroki zakres różnych zadań, niezależnie od sposobu, w jaki modele te są wprowadzany do obrotu, i które można zintegrować z różnymi systemami lub aplikacjami niższego szczebla. Za przykład takiego modelu można wskazać jeden z najbardziej popularnych modeli AI czyli ChatGPT. Jednym z kluczowych obowiązków nakładanych przez AI Act na dostawców modeli sztucznej inteligencji ogólnego przeznaczenia jest konieczność opracowywania oraz stałego aktualizowania szczegółowej dokumentacji technicznej. Obejmuje ona między innymi opis procesu trenowania i testowania modelu, wyniki jego oceny oraz informacje wymagane załącznikiem XI. Dokumentacja ta musi być udostępniana adekwatnym organom krajowym oraz Urzędowi ds. AI, co zwiększa przejrzystość działania modeli i umożliwia skuteczniejszy nadzór regulacyjny.
Warto zaznaczyć, iż wskazany obowiązek to jedynie przykład szerokiego katalogu wymogów, jakim podlegają dostawcy modeli ogólnego przeznaczenia. Ustawodawca przewidział również obowiązek przekazywania odpowiednich informacji podmiotom integrującym modele AI w swoich systemach, zapewnienia zgodności z przepisami o prawie autorskim, publikacji streszczenia danych treningowych, współpracy z organami nadzoru oraz w sytuacji braku norm zharmonizowanych stosowania kodeksów praktyk. W efekcie powstaje kompleksowy system regulacyjny, który ma zagwarantować bezpieczeństwo, zgodność z prawem i transparentność funkcjonowania modeli AI ogólnego przeznaczenia.
Rozporządzenie przewiduje wprowadzenie szerokiego spektrum kar administracyjnych dla podmiotów, które nie stosują się do jego wymogów. Na przykład, naruszenie zakazów dotyczących praktyk w obszarze sztucznej inteligencji może skutkować nałożeniem kary administracyjnej sięgającej choćby 35 mln euro lub, w przypadku przedsiębiorstw, 7 procent całkowitego rocznego światowego obrotu z ostatniego roku finansowego. Ponadto, przepisy przewidują, iż odpowiednie organy regulacyjne będą dysponowały dodatkowymi uprawnieniami nadzorczymi, takimi jak prawo dostępu do kodu źródłowego systemów AI sklasyfikowanych jako wysokiego ryzyka, a także możliwością stosowania środków sankcyjnych, w tym wstrzymania wprowadzania na rynek takich systemów.
Pozostałe przepisy niniejszego rozporządzenia wejdą w życie 2 sierpnia 2026 r., w tym art. 101, który reguluje kwestie kar pieniężnych nakładanych na dostawców modeli AI ogólnego przeznaczenia. Przepis ten ma szczególne znaczenie dla dostawców, ponieważ na jego podstawie Komisja może nałożyć karę finansową do wysokości 3% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego lub 15 000 000 EUR, w zależności od tego, która z tych kwot jest wyższa, jeżeli ustali, iż dostawca celowo lub wskutek zaniedbania naruszył obowiązujące przepisy rozporządzenia. Kara może zostać zastosowana również w przypadku, gdy dostawca nie zastosował się do żądania przedstawienia dokumentu lub informacji zgodnie z art. 91, dostarczył dane nieprawidłowe, niekompletne lub wprowadzające w błąd, nie wykonał wymaganego środka określonego w art. 93 lub odmówił Komisji dostępu do modelu AI ogólnego przeznaczenia bądź modelu AI ogólnego przeznaczenia z ryzykiem systemowym w celu przeprowadzenia oceny zgodnie z art. 92.
Wprowadzenie i egzekwowanie przepisów AI Act będzie miało istotny wpływ na kształtowanie bezpieczeństwa cyfrowego w Unii Europejskiej. Dzięki jasno określonym obowiązkom dla dostawców i użytkowników systemów AI, zwiększa się przejrzystość działania algorytmów, co ułatwia wykrywanie potencjalnych zagrożeń i minimalizowanie ryzyka naruszeń bezpieczeństwa. Zakazy dotyczące manipulacji, nadmiernego profilowania czy niekontrolowanego wykorzystania danych biometrycznych w przestrzeni publicznej wprowadzają nowe standardy ochrony prywatności i danych osobowych, co bezpośrednio przekłada się na wzmocnienie cyberbezpieczeństwa. W efekcie AI Act nie tylko tworzy ramy prawne dla odpowiedzialnego rozwoju sztucznej inteligencji, ale także staje się istotnym narzędziem w ochronie infrastruktury cyfrowej, danych obywateli oraz zaufania do technologii w całej Unii.
