Czy unijny AI Act dotyczy Ciebie, jeśli Twoje oprogramowanie nie ma AI?

Unijny AI Act reguluje wyłącznie to, co sam nazywa systemem AI. Jeśli narzędzia, z których korzysta Twoja firma, nie pasują do tej definicji, żaden przepis tej ustawy Cię nie dotyczy. Test jest krótki. Czy system sam wypracowuje odpowiedzi, czy tylko wykonuje reguły napisane przez człowieka? Odpowiedz dobrze na to jedno pytanie, a najcięższe obowiązki znikają.

Co tak naprawdę reguluje unijny AI Act

Unijny AI Act to ustawa o bezpieczeństwie produktów dla AI. Porządkuje systemy AI według ryzyka i nakłada obowiązki na te bardziej ryzykowne. Nie reguluje oprogramowania w ogóle. Nie reguluje też danych ani automatyzacji. Reguluje systemy, które spełniają jego własną definicję AI i tylko je. Dlatego pierwsze pytanie nigdy nie brzmi, co robi Twoje narzędzie. Brzmi ono, czy Twoje narzędzie w ogóle jest systemem AI.

Ustawa dzieli AI na cztery poziomy ryzyka:

• Ryzyko nieakceptowalne: krótka lista zakazanych zastosowań, takich jak scoring społeczny i większość rozpoznawania twarzy na żywo w przestrzeni publicznej.
• Wysokie ryzyko: systemy, które mogą wpływać na bezpieczeństwo lub prawa, jak AI używana do rekrutacji, zwalniania lub oceniania ludzi. To one niosą najcięższe obowiązki.
• Ograniczone ryzyko: systemy, które muszą jedynie ujawniać swoją naturę, na przykład chatbot informujący, że jest botem.
• Minimalne ryzyko: cała reszta, gdzie mieści się większość AI i gdzie nie obowiązują żadne wymogi.

Zasięg jest szeroki. Zgodnie z art. 2 rozporządzenia przepisy wiążą dostawców, którzy wprowadzają system AI na rynek UE. Wiążą też podmioty stosujące, które używają takiego systemu na terenie UE, nawet gdy dostawca ma siedzibę za granicą. Ale każdy z tych punktów zaczepienia wisi na tych samych słowach: system AI. Nie ma systemu AI, nie ma dostawcy ani podmiotu stosującego, a obowiązki nigdy się nie zaczynają.

Co liczy się jako „system AI” w świetle ustawy?

System AI, słowami samej ustawy, to maszyna, która sama wypracowuje swoje odpowiedzi. Robi coś więcej niż wykonanie sztywnego skryptu. Oficjalna definicja opiera się na jednej zdolności: system musi wnioskować. To właśnie granica między regulowaną AI a zwykłym oprogramowaniem.

„System AI oznacza system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii i który może wykazywać zdolność adaptacji po jego wdrożeniu, a także który, na potrzeby wyraźnych lub dorozumianych celów, wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowiska fizyczne lub wirtualne.”
Art. 3 ust. 1, rozporządzenie (UE) 2024/1689

Objaśnienia ustawy nie pozostawiają wątpliwości co do tego, co z niej wypada. Motyw 12 mówi, że definicja nie powinna obejmować „prostszych tradycyjnych systemów oprogramowania lub podejść do programowania”. Nie powinna też obejmować systemów „opartych na regułach określonych wyłącznie przez osoby fizyczne w celu automatycznego wykonywania operacji”. Mówiąc wprost: jeśli człowiek napisał każdą regułę, a oprogramowanie po prostu je wykonuje, nie jest to AI w rozumieniu tej ustawy.

Spójrz na narzędzia, z których naprawdę korzysta zespół compliance. Formularz internetowy, proces kierujący sprawę do właściwej osoby, zaszyfrowana skrzynka odbiorcza, wyszukiwanie w bazie danych, sztywne drzewo decyzyjne. Żadne z nich niczego nie wnioskuje. Robią dokładnie to, co im kazano. To oprogramowanie, a nie systemy AI.

Jedna rzecz przełącza zwrotnicę i nie jest to to, co ludzie zakładają. Ustawa nie zaczyna obowiązywać dlatego, że przetwarzasz dane wrażliwe, automatyzujesz zadanie czy działasz w chmurze. Zaczyna obowiązywać dlatego, że system wnioskuje. Narzędzie może być duże, złożone i krytyczne dla biznesu, a mimo to pozostawać poza ustawą, dopóki nie uczy się z danych ani nie buduje własnego modelu, by dojść do odpowiedzi.

Oprogramowanie oparte na regułach wykonuje sztywną logikę. System AI sam wnioskuje swoje odpowiedzi i to jest granica, którą wytycza ustawa.

Czy ustawa obowiązuje, jeśli Twoje oprogramowanie nie ma AI?

W odniesieniu do części dotyczących wysokiego ryzyka i przejrzystości odpowiedź brzmi: nie. Jeśli żaden element Twojego oprogramowania nie spełnia definicji z art. 3 ust. 1, nie jesteś dostawcą ani podmiotem stosującym system AI. Obowiązki dotyczące wysokiego ryzyka i przepisy o przejrzystości z art. 50 nie mają się do czego przyczepić. Nie ma oceny zgodności do przejścia, dokumentacji ryzyka do prowadzenia ani AI do zarejestrowania.

Z tą odpowiedzią idą dwa uczciwe zastrzeżenia. Pierwsze to upewnić się, że naprawdę nie masz AI. Dostawcy bez przerwy dodają funkcje, a wnioskowanie może kryć się choćby w jednej z nich. Pokazuje to pewien przykład. Powiedzmy, że Twoje narzędzie do zgłoszeń to zwykłe oprogramowanie, ale włączasz asystenta AI, który zgaduje, jak pilne jest każde zgłoszenie. Ten asystent wnioskuje. Teraz stosujesz system AI, choć reszta narzędzia tylko wykonuje reguły. Chatbot na stronie kontaktowej, funkcja tłumaczenia AI albo usługa AI działająca pod spodem jako podprzetwarzający mogą zadziałać tak samo.

Drugie zastrzeżenie jest takie, że nadal obowiązuje inne prawo. Ogólne rozporządzenie o ochronie danych (RODO) reguluje Twoje dane osobowe niezależnie od tego, czy używasz AI. A wynikający z ustawy obowiązek kompetencji w zakresie AI, czyli reguła, że pracownicy muszą rozumieć AI, z którą pracują, dotyczy wyłącznie firm, które faktycznie używają systemów AI. Porzuć AI, a ten obowiązek odpada wraz z nią.

Gdzie narzędzia do zgłoszeń i narzędzia HR wpadają w sieć

Zatrudnienie to jedna z objętych ustawą stref wysokiego ryzyka i to właśnie tam żyje oprogramowanie do obsługi zgłoszeń oraz oprogramowanie HR. Załącznik III wymienia osiem obszarów wysokiego ryzyka. Punkt 4 obejmuje AI używaną w „zatrudnieniu, zarządzaniu pracownikami i dostępie do samozatrudnienia”. Wymienia AI, która filtruje aplikacje o pracę, ocenia kandydatów, przydziela zadania na podstawie zachowań lub cech albo monitoruje, jak ludzie pracują. AI, która prześwietla lub ocenia pracowników, jest domniemywana jako system wysokiego ryzyka.

To obejmuje funkcję, którą wiele narzędzi compliance dziś reklamuje. Coraz więcej platform do obsługi zgłoszeń i zarządzania sprawami dodaje AI, by sortować zgłoszenia, oceniać ich powagę, przewidywać rozstrzygnięcia lub tłumaczyć zgłoszenia w locie. W chwili, gdy ta AI pomaga decydować o sposobie obsługi zgłoszenia pracownika, klient, który z niej korzysta, może stać się podmiotem stosującym system wysokiego ryzyka. To niesie ze sobą papierkową robotę, nadzór człowieka i obowiązki w zakresie rejestrowania zdarzeń. Chatbot AI, który przyjmuje pierwsze zgłoszenie, dokłada wynikający z art. 50 obowiązek poinformowania ludzi, że rozmawiają z maszyną.

Te obowiązki podmiotu stosującego nie są lekkie i spadają na Ciebie, kupującego, a nie tylko na dostawcę. Musisz utrzymać człowieka w pętli decyzji kształtowanych przez AI. Musisz obserwować system w czasie i przechowywać jego rejestry zdarzeń. Musisz informować zainteresowanych pracowników, gdy w grę wchodziła AI. W przypadku tak wrażliwego procesu jak zgłoszenie nieprawidłowości, gdzie zaufanie jest całą stawką, to ciężki obowiązek do wzięcia na siebie w zamian za funkcję dla wygody.

Narzędzie bez AI na tej ścieżce pomija całe to pytanie. Platforma do obsługi zgłoszeń taka jak WeMoral, która trzyma wnioskowanie z dala od przyjmowania i segregacji zgłoszeń, pozostaje w oczach ustawy zwykłym oprogramowaniem. Jej klienci nigdy nie dziedziczą ciężaru wysokiego ryzyka spoczywającego na podmiocie stosującym. Kontrast jest wyraźny, gdy zestawi się obie strony:

Warto znać jedną regułę zawężającą. System z załącznika III może uniknąć etykiety wysokiego ryzyka, jeśli nie stwarza istotnego ryzyka szkody, na przykład gdy wykonuje wyłącznie wąskie zadanie biurowe. To jednak wąski wyjątek, a dostawca musi udokumentować taką ocenę. W przypadku wszystkiego, co prześwietla ludzi lub kształtuje sposób traktowania ich zgłoszeń, bezpiecznym założeniem jest wysokie ryzyko.

Ustawa porządkuje AI według ryzyka, od minimalnego na jednym krańcu po kilka zakazanych zastosowań na drugim.

Co zmienia się 2 sierpnia 2026 r., a co właśnie odroczono?

Ogólny termin wejścia ustawy w życie to 2 sierpnia 2026 r. Wtedy włącza się większość przepisów i rusza egzekwowanie na poziomie krajowym. Ale daty się przesunęły. Pakiet upraszczający znany jako Digital Omnibus, poparty przez Parlament Europejski 16 czerwca 2026 r. i wciąż przechodzący ostatnie etapy zanim stanie się prawem, odsuwa najcięższe terminy.

W ramach tego pakietu samodzielne obowiązki dotyczące wysokiego ryzyka przesuwają się na 2 grudnia 2027 r. AI wysokiego ryzyka wbudowana w produkty regulowane przesuwa się na 2 sierpnia 2028 r. Krótkie wydłużenie dostaje też oznaczanie mediów wytworzonych przez AI. Niektóre rzeczy się nie przesuwają. Zakazane zastosowania obowiązują od lutego 2025 r. Podstawowe obowiązki w zakresie przejrzystości wciąż przypadają na datę 2026 r. i wtedy zaczyna się szerokie egzekwowanie. Bieżący stan możesz śledzić na stronie Komisji Europejskiej poświęconej AI Act. Daty z pakietu omnibus traktuj jako niemal ostateczne, dopóki nie zostaną opublikowane w całości.

Digital Omnibus przesuwa najcięższe terminy z 2026 r. na późny 2027 r.

Kary pokazują, dlaczego daty przyciągają tyle uwagi. Ustawa dopuszcza grzywny do 35 milionów euro lub 7% globalnego rocznego obrotu za zakazane zastosowania. Większość pozostałych naruszeń sięga 15 milionów euro lub 3%. Podanie organom wprowadzających w błąd informacji sięga 7,5 miliona euro lub 1%. Te pułapy są na tyle wysokie, że zakres to nie formalność. Dla narzędzia bez AI przesuwające się terminy nic nie zmieniają. Test pozostaje ten sam. Brak AI oznacza nic do zrobienia, niezależnie od którejkolwiek z tych dat.

Jak sprawdzić, czy jesteś objęty zakresem ustawy

Swoją własną ekspozycję możesz rozstrzygnąć jednym pytaniem, zadawanym o każdą funkcję. Czy wnioskuje, czy wykonuje reguły napisane przez człowieka? Przejdź swój stos technologiczny po kolei, a odpowiedź zwykle staje się jasna.

1. Wypisz każdą funkcję, która klasyfikuje, ocenia, przewiduje, sortuje, rekomenduje lub tworzy treści.
2. Przy każdej zapytaj, czy uczy się z danych, czy tylko wykonuje sztywną logikę.
3. Poluj na ukrytą AI: chatboty, tłumaczenie, klasyfikowanie wyników wyszukiwania i każdą AI, którą dostawca uruchamia pod spodem.
4. W przypadku wszystkiego, co faktycznie wnioskuje, ustal swoją rolę. Czy to zbudowałeś lub oznaczyłeś swoją marką, czy po prostu z tego korzystasz?
5. Jeśli funkcja wnioskuje i dotyka pracy, praw lub zgłoszeń ludzi, potraktuj ją jako potencjalnie wysokiego ryzyka i zasięgnij porady.

Zadaj swoim dostawcom oprogramowania to samo pytanie na piśmie. Jasna odpowiedź o to, czy któraś funkcja wnioskuje i gdzie, mówi Ci o Twojej ekspozycji na AI Act więcej niż jakakolwiek broszura o „inteligentnej” czy „smart” automatyzacji. Trzymaj tę odpowiedź w aktach, żeby móc ją pokazać, gdyby kiedyś zapytał o nią organ regulacyjny lub klient.

Ustawa nagradza dokładną wiedzę o tym, co robi Twoje oprogramowanie. Narzędzie bez AI daje organowi regulacyjnemu mniejszą powierzchnię do skontrolowania i zostawia Ci o jeden reżim mniej do zarządzania. Twoim zadaniem jest udowodnić, że nic w Twoim stosie technologicznym nie wnioskuje i wybierać narzędzia, które tak utrzymują ten stan.