AI Act wchodzi w życie — realny koszt dla polskich firm tech

Rozporządzenie 2024/1689, znane jako AI Act, weszło w życie 1 sierpnia 2024 roku, ale jego pełne konsekwencje dopiero teraz zaczynają docierać do polskich firm technologicznych. Pierwsze zakazy — dotyczące systemów niedopuszczalnego ryzyka — obowiązują od 2 lutego 2025. Obowiązki dla modeli ogólnego przeznaczenia (GPAI) ruszyły 2 sierpnia 2025. Pełne wymagania dla systemów wysokiego ryzyka zaczną obowiązywać 2 sierpnia 2026.

Dla polskiego sektora tech oznacza to trzy rzeczy: konkretne koszty compliance, konieczność klasyfikacji własnych produktów oraz — w wielu przypadkach — przeprojektowanie procesów rozwoju AI. Firmy, które traktują to jako formalność, ryzykują kary sięgające 35 mln euro lub 7% globalnego obrotu, w zależności od tego, która kwota jest wyższa.

Największym problemem nie są jednak kary, lecz niepewność interpretacyjna. Polska wciąż nie wyznaczyła w pełni operacyjnie organu nadzoru — projekt ustawy powierzający rolę Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji jest procedowany, ale firmy już teraz muszą dokumentować zgodność, nie mając pewności, przed kim będą z niej rozliczane.

Klasyfikacja ryzyka — gdzie naprawdę znajduje się twój produkt

AI Act dzieli systemy na cztery kategorie: niedopuszczalnego ryzyka (zakazane), wysokiego ryzyka, ograniczonego ryzyka (obowiązki transparentności) oraz minimalnego ryzyka. Większość polskich startupów zakłada, że mieści się w ostatniej kategorii — i często się myli.

Systemy scoringowe w HR, narzędzia do analizy CV, chatboty obsługujące wnioski kredytowe, systemy biometryczne w kontroli dostępu — wszystko to Załącznik III klasyfikuje jako wysokie ryzyko. Oznacza to obowiązek prowadzenia systemu zarządzania ryzykiem, dokumentacji technicznej zgodnej z Załącznikiem IV, rejestracji w bazie UE, nadzoru ludzkiego oraz oceny zgodności.

35 000 000 € | Maksymalna kara za naruszenie zakazów z art. 5 AI Act lub 7% globalnego obrotu — w zależności od tego, co wyższe

Co istotne, odpowiedzialność spoczywa nie tylko na dostawcach (providers), ale także na podmiotach wdrażających (deployers). Polska firma, która integruje amerykański model LLM w swoim produkcie HR, staje się deployerem systemu wysokiego ryzyka — ze wszystkimi konsekwencjami.

Koszty compliance — konkretne liczby

Szacunki Komisji Europejskiej z oceny skutków regulacji mówiły o koszcie 6 000–7 000 euro na system wysokiego ryzyka. Praktyka pokazuje, że to zaniżone dane. Raport CEPS z 2024 roku wskazuje, że pełne wdrożenie systemu zarządzania zgodnością dla firmy z kilkoma produktami AI to koszt 200 000–400 000 euro w pierwszym roku, głównie z powodu audytów, dokumentacji i konieczności zatrudnienia specjalistów ds. compliance AI.

Dla polskich MŚP, które stanowią trzon sektora, to poważny problem. Średnia marża w polskim IT oscyluje wokół 8–12% — jednorazowy koszt compliance może pochłonąć cały roczny zysk mniejszego dostawcy. Rozporządzenie przewiduje co prawda mechanizmy wsparcia dla MŚP (piaskownice regulacyjne, uproszczona dokumentacja), ale ich praktyczna dostępność w Polsce w 2025 roku jest ograniczona.

Firmy, które działają w sektorze B2B i sprzedają do klientów z regulowanych branż — finansów, zdrowia, energetyki — odczuwają to już teraz. Klienci wymagają deklaracji zgodności z AI Act w zapytaniach ofertowych, nawet jeśli formalne terminy jeszcze nie minęły.

Modele ogólnego przeznaczenia — pułapka dla integratorów

Od 2 sierpnia 2025 obowiązki dla dostawców modeli GPAI weszły w życie. Dotyczy to OpenAI, Anthropic, Google, ale także firm europejskich jak Mistral. Problem w tym, że obowiązki kaskadują w dół łańcucha dostaw.

Polska firma budująca produkt na GPT-4 lub Claude musi teraz wymagać od dostawcy dokumentacji zgodnej z Załącznikiem XI, w tym informacji o danych treningowych, zużyciu energii i testach bezpieczeństwa. Jeśli dostawca odmawia lub dostarcza dokumentację niepełną, ryzyko przenosi się na integratora. To realna zmiana w negocjacjach kontraktowych — i dźwignia dla europejskich dostawców modeli, którzy mogą oferować lepszą przejrzystość.

Kodeks postępowania dla GPAI, opublikowany w lipcu 2025 przez AI Office, precyzuje te obowiązki, ale jego dobrowolny charakter tworzy dodatkową niepewność. Sygnatariusze zyskują domniemanie zgodności — niesygnatariusze muszą udowadniać compliance indywidualnie.

Co robić teraz — priorytety operacyjne

Pierwszym krokiem jest inwentaryzacja. Nie chodzi o listę produktów AI, lecz o mapowanie wszystkich miejsc, gdzie systemy algorytmiczne podejmują decyzje wpływające na ludzi — także tych wbudowanych w narzędzia SaaS używane wewnętrznie. W typowej polskiej firmie tech takich punktów jest 15–30, z czego zespół zazwyczaj identyfikuje 5–8.

Drugim krokiem jest klasyfikacja zgodnie z Załącznikiem III i przygotowanie dokumentacji technicznej dla wszystkiego, co kwalifikuje się jako wysokie ryzyko. Trzecim — renegocjacja umów z dostawcami modeli i komponentów AI, tak aby zapewnić dostęp do dokumentacji wymaganej przez AI Act.

Wreszcie: monitoring decyzji polskiego organu nadzoru, który — gdy już powstanie — będzie interpretował przepisy w praktyce. Różnice interpretacyjne między państwami członkowskimi będą znaczące, a polska praktyka regulacyjna historycznie skłania się ku restrykcyjnej wykładni.

Suwerenność regulacyjna jako szansa

AI Act jest często krytykowany jako regulacja hamująca innowacje. W kontekście polskim można jednak spojrzeć inaczej: wymusza on poziom dokumentacji i przejrzystości, który w dłuższej perspektywie faworyzuje dostawców europejskich nad amerykańskimi czy chińskimi gigantami oferującymi "czarne skrzynki".

Polskie firmy, które potraktują compliance nie jako koszt, lecz jako element przewagi konkurencyjnej — szczególnie w sprzedaży do sektora publicznego i regulowanych branż — mogą wykorzystać regulację na swoją korzyść. Warunek: zacząć teraz, nie w lipcu 2026.