Bruksela przestała mrugać okiem. Komisja Europejska opublikowała dziś wytyczne wdrażania AI Act — dokumentu, który od lat był traktowany przez branżę technologiczną trochę jak straszak, a trochę jak odległa abstrakcja. Teraz abstrakcja dostała konkretny cennik. Firmy, które nie wdrożą wymaganych filtrów bezpieczeństwa w modelach wysokiego ryzyka, mogą pożegnać się z 6% rocznego przychodu globalnego. Albo zapłacić do 30 milionów euro — w zależności od tego, która kwota boli bardziej.
Polska nie jest tu widzem. Urząd Regulacji Energetyki przygotowuje pierwsze krajowe egzekwowanie przepisów, co oznacza, że rodzimy rynek AI przestaje być bezpieczną przystanią dla firm, które dotąd liczyły na to, że unijne regulacje to coś, co dotyczy głównie Google’a i Mety.
Co właściwie mówią wytyczne
AI Act dzieli systemy AI na cztery kategorie ryzyka: zakazane, wysokie, ograniczone i minimalne. Wytyczne opublikowane 21 lutego 2026 precyzują, czego Komisja oczekuje od firm operujących w najgroźniejszych kategoriach. W skrócie: systemy oceniające wnioski kredytowe, rekrutujące pracowników, wspomagające diagnozę medyczną czy zarządzające infrastrukturą krytyczną muszą mieć wbudowane mechanizmy monitorowania, filtrowania i przejrzystości działania.
Komisja Europejska w swoim oficjalnym stanowisku napisała wprost: „Firmy muszą wdrożyć odpowiednie środki bezpieczeństwa, w tym systemy monitorowania i filtrowania, aby zapewnić zgodność z AI Act.” Brzmi jak biurokratyczna oczywistość, ale za tym zdaniem kryją się konkretne wymagania techniczne i dokumentacyjne, które małe firmy technologiczne będą musiały realizować bez budżetów Amazonu.
Pierwsze zakazy weszły w życie już w styczniu 2025 — dotyczyły systemów zakazanych, czyli między innymi narzędzi do masowej inwigilacji w przestrzeni publicznej czy systemów oceniających obywateli jak chiński system punktacji społecznej. Teraz przychodzi czas na twarde wymogi dla modeli wysokiego ryzyka. Pełne wdrożenie tych przepisów zaplanowano na luty 2027, ale firmy, które liczą, że zdążą zrobić wszystko w ostatniej chwili, mogą się nieprzyjemnie zaskoczyć — kontrole zaczną się wcześniej.
Polska w środku gry
URE jako organ wyznaczony do egzekwowania przepisów AI Act w Polsce to wybór, który sam w sobie zasługuje na komentarz. Urząd znany do tej pory głównie z regulowania rynku energii nagle dostaje kompetencje w obszarze technologii, którą większość jego pracowników zapewne dopiero poznaje. To nie złośliwość — to obserwacja, która ma znaczenie dla każdej polskiej firmy tworzącej lub wdrażającej systemy AI.
Dla polskich startupów i firm technologicznych wdrażających modele AI w obszarach wysokiego ryzyka — fintech, medtech, HR-tech — zegar tyka. Dostosowanie do AI Act to nie tylko kwestia dokumentacji i wewnętrznych procesów. To realne koszty: audyty, testy techniczne, szkolenia, a często też przeprojektowanie istniejących systemów. Według szacunków branżowych średni koszt dostosowania produktu do wymogów AI Act dla małej firmy to od kilkudziesięciu do kilkuset tysięcy złotych, zależnie od złożoności systemu.
Innowacyjność kontra bezpieczeństwo: stary spór, nowe stawki
Branża technologiczna od początku prac nad AI Act powtarzała jak mantrę, że regulacje europejskie zabijają innowacyjność i wypchną europejskie startupy na margines globalnego wyścigu AI. Jest w tym ziarnko prawdy — każdy startup, który musi zatrudnić prawnika do spraw dostosowania zanim wypuści produkt, ma utrudniony start w porównaniu z firmą z Doliny Krzemowej operującą w znacznie luźniejszym środowisku regulacyjnym.
Z drugiej strony argument o innowacyjności szybko traci na sile, gdy spojrzy się na to, co systemy AI bez nadzoru już zdążyły narobić: dyskryminujące algorytmy rekrutacyjne, scoring kredytowy odrzucający całe grupy społeczne na podstawie kodu pocztowego, systemy moderacji treści działające równie sprawiedliwie jak wyrocznia z wadliwą instalacją elektryczną. AI Act próbuje wymusić odpowiedzialność tam, gdzie rynek jej sam nie wypracował.
Problem w tym, że europejskie regulacje mają tendencję do jednorodnego traktowania gigantów i mikrostartupów. OpenAI zapłaci karę w wysokości 6% przychodów i pójdzie dalej. Polska firma z dziesięcioma pracownikami może tego nie przeżyć.
Co dalej dla firm działających w Polsce
Najbliższe miesiące to czas na konkretne działania, nie obserwację z bezpiecznej odległości. Firmy rozwijające systemy AI w obszarach wysokiego ryzyka powinny już teraz przeprowadzić audyt swoich produktów pod kątem klasyfikacji ryzyka według AI Act — i to nie na zasadzie „może nas to nie dotyczy”, lecz z założeniem, że jeśli system podejmuje decyzje wpływające na ludzi, prawdopodobnie dotyczy. Dokumentacja procesów, rejestry danych treningowych, mechanizmy nadzoru ludzkiego — to nie jest lista życzeń, to lista obowiązkowa.
URE zapewne nie uderzy na początku w małe podmioty — pierwsze egzekwowanie dotknie raczej dużych graczy, żeby zbudować precedensy. Ale precedensy działają w dwie strony: gdy urząd już raz nałoży karę, aparat biurokratyczny działa dalej siłą rozpędu. Lepiej nie sprawdzać tego na własnej firmie.
AI Act to nie koniec historii — to jej początek. Komisja Europejska właśnie pokazała, że dokumenty z 2024 roku mają zęby. Pytanie brzmi, ile firm zdąży wdrożyć wymagane zabezpieczenia zanim te zęby trafią dokładnie w ich sprawozdanie finansowe.
