Biurokracja, o której mówiono przez lata, właśnie uderzyła w portfele. Komisja Europejska zaczęła wystawiać pierwsze grzywny za naruszenia EU AI Act — od 10 do 100 tysięcy euro. Główny zarzut? Brak dokumentacji modeli wysokiego ryzyka i pominięcie testów bezpieczeństwa. Polska tymczasem dopiero przygotowuje krajowe wytyczne, więc polskie firmy tańczą w ciemno. Witajcie w regulacjach AI — europejska wersja.
EU AI Act wszedł w życie w lutym 2024 roku jako pierwszy na świecie kompleksowy przepis regulujący sztuczną inteligencję. Przez rok trwał okres przejściowy — firmy teoretycznie miały czas na dostosowanie. Teraz, w pierwszym kwartale 2025, organy nadzoru zaczęły egzekwować wymogi. I okazało się, że 60-70% firm działających na rynku UE nie ma kompletnej dokumentacji systemów AI oznaczonych jako wysokie ryzyko. To nie statystyki z sufitu — to szacunki branżowe potwierdzone przez pierwsze kontrole.
Thierry Breton, komisarz europejski do spraw technologii, w oficjalnym oświadczeniu z 2024 roku powiedział wprost: „AI Act to przepisy, które stanowią przełom. Pierwszy raz na świecie mamy jasne reguły dla sztucznej inteligencji. To nie jest biurokracja — to ochrona obywateli.” Pytanie brzmi: czy ochrona obywateli musi kosztować małe startupy kilkadziesiąt tysięcy euro za brakujący PDF?
Czego firmy nie zrobiły — i ile to kosztuje
Pierwsze grzywny dotyczą dwóch głównych naruszeń. Po pierwsze: brak kompletnej dokumentacji modeli wysokiego ryzyka. EU AI Act wymaga od firm szczegółowego opisu działania systemu, danych treningowych, potencjalnych błędów i procedur nadzoru. W praktyce to dziesiątki stron raportów technicznych, które większość startupów ignorowała, licząc na to, że nikt nie sprawdzi.
Sprawdzili. Komisja Europejska, wspólnie z krajowymi organami nadzoru, przeprowadziła pierwsze kontrole w kilkudziesięciu firmach oferujących systemy AI w sektorach finansowych, rekrutacyjnych i medycznych. Wszystkie te branże zaliczają się do kategorii wysokiego ryzyka według EU AI Act. Okazało się, że większość firm albo w ogóle nie ma dokumentacji, albo ma ją na poziomie „README.txt” z GitHub.
Drugie najczęstsze naruszenie to brak testów bezpieczeństwa. Regulacja wymaga przeprowadzenia audytów przed wdrożeniem modelu na rynek — testów na błędy, dyskryminację algorytmiczną i stabilność działania. Firmy, które zignorowały ten wymóg, dostały grzywny od 10 do 100 tysięcy euro. To początkowa faza kar — maksymalne sankcje mogą sięgać 6% przychodów globalnych, co w przypadku dużych korporacji oznacza setki milionów.
Uwaga ⚠️
Jeśli Twoja firma oferuje AI w finansach, HR albo medycynie w UE — prawdopodobnie podpadasz pod „wysokie ryzyko”. Brak dokumentacji to prosta droga do grzywny.
Polska: wytyczne za dwa miesiące, a firmy płacą już teraz
Polska ma problem. EU AI Act to regulacja unijna, więc obowiązuje we wszystkich krajach członkowskich od lutego 2024 roku. Ale krajowe organy — w Polsce to Urząd Ochrony Konkurencji i Konsumentów (UOKiK) oraz Ministerstwo Cyfryzacji — dopiero w marcu 2024 roku zaczęły prace nad szczegółowymi wytycznymi. Oficjalny komunikat UOKiK brzmiał uspokajająco: „Przygotowujemy wytyczne dla polskich przedsiębiorstw, aby ułatwić wdrożenie EU AI Act. Pierwsza faza dotyczy edukacji, nie kar.”
Problem w tym, że europejskie organy nadzoru nie czekają na polskie wytyczne. Jeśli polska firma działa na rynku unijnym — a większość firm AI oferuje usługi w całej UE — podlega egzekucji już teraz. Kilka polskich startupów, które oferowały systemy do analizy CV w procesach rekrutacyjnych, dostało pisma z Komisji Europejskiej z żądaniem przedstawienia dokumentacji. Termin: dwa tygodnie. Brak odpowiedzi = grzywna.
Margrethe Vestager, wiceszefowa Komisji Europejskiej, na konferencji prasowej w lutym 2024 roku była bezlitosna: „Polska i inne kraje członkowskie muszą wdrożyć te przepisy konsekwentnie. Nie ma miejsca na luki regulacyjne w kwestii AI.” Tłumaczenie: nie będzie taryfy ulgowej dla spóźnialskich.
Co to oznacza „wysokie ryzyko” — i dlaczego nikt tego do końca nie wie
EU AI Act dzieli systemy AI na siedem kategorii ryzyka — od „minimalnego” (np. filtry spamu) po „niedopuszczalne” (np. systemy punktacji społecznej w stylu chińskim). Systemy wysokiego ryzyka to m.in. AI stosowane w rekrutacji, ocenie kredytowej, diagnostyce medycznej, egzaminach edukacyjnych i kontrolach granicznych.
Problem? Kryteria „wysokiego ryzyka” są nieprecyzyjne. Czy chatbot HR, który pomaga w preselekcji CV, to system wysokiego ryzyka? Według literalnego brzmienia EU AI Act — tak, bo wpływa na dostęp do zatrudnienia. Czy mały startup używający GPT-4 API do analizy motivational letters też musi dokumentować cały proces? Teoretycznie tak. Praktycznie — nikt nie wie.
To właśnie dlatego polskie firmy czekają na krajowe wytyczne. UOKiK i Ministerstwo Cyfryzacji mają wydać szczegółowe interpretacje do końca kwietnia 2025 roku. Ale do tego czasu polskie firmy działają po omacku. Część z nich profilaktycznie przygotowuje dokumentację na wszelki wypadek. Inne liczą, że przeleżą pod radarem. Te drugie — jeśli dostaną kontrolę — zapłacą.
Protip ✅
Jeśli Twoja firma używa AI do podejmowania decyzji o ludziach (rekrutacja, kredyty, ubezpieczenia) — zacznij dokumentować już teraz. Nie czekaj na wytyczne, bo Komisja Europejska też nie czeka.
Kto płaci pierwsze grzywny — i za co konkretnie
Komisja Europejska nie ujawnia pełnej listy ukaranych firm, ale branżowe źródła potwierdzają, że pierwsze mandaty trafiły głównie do startupów i średnich firm w sektorze HR-tech i fintech. Przykłady naruszeń:
Firma oferująca AI do analizy emocji kandydatów podczas rozmów wideo — 50 tysięcy euro za brak dokumentacji modelu i testów na dyskryminację. System analizował wyraz twarzy i ton głosu, oceniając „dopasowanie kulturowe” kandydata. Brak dowodów, że kiedykolwiek przetestowano go pod kątem uprzedzeń rasowych czy płciowych.
Fintech używający modelu AI do oceny zdolności kredytowej — 80 tysięcy euro za brak audytu bezpieczeństwa i niekompletną dokumentację danych treningowych. Firma nie potrafiła wyjaśnić, dlaczego model częściej odrzucał wnioski kobiet w wieku 25-35 lat.
Startup medyczny oferujący AI do wstępnej diagnostyki chorób skóry na podstawie zdjęć — 100 tysięcy euro za brak certyfikacji jako wyrób medyczny i brak dokumentacji procesów walidacji. Model nigdy nie przeszedł testów klinicznych, ale był sprzedawany jako „narzędzie wspierające diagnostykę”.
We wszystkich tych przypadkach firmy miały rok na dostosowanie się do przepisów. Nie zrobiły tego. Teraz płacą. I to nie koniec — Komisja Europejska zapowiedziała, że grzywny będą rosły w miarę upływu okresu przejściowego. W 2026 roku, kiedy EU AI Act wejdzie w pełną moc, maksymalne kary mogą wynosić do 6% przychodów globalnych.
Czy EU AI Act zabije europejskie innowacje w AI?
Branża tech już od 2023 roku ostrzega, że EU AI Act to biurokratyczny koszmar, który wypchnie europejskie startupy AI za ocean. Argumenty? Małe firmy nie mają zasobów na przygotowanie dziesiątek stron dokumentacji technicznej. Koszt audytu bezpieczeństwa przez zewnętrzną firmę to 20-50 tysięcy euro — więcej niż budżet wielu startupów na wczesnym etapie rozwoju. Efekt? Innowacje przeniosą się do USA albo Azji, gdzie regulacji nie ma albo są symboliczne.
Komisja Europejska odpowiada, że to cena za ochronę obywateli. Thierry Breton wielokrotnie powtarzał, że UE nie chce powtórki z Facebooka czy Cambridge Analytica w świecie AI. Jeśli firma nie potrafi wyjaśnić, jak działa jej model i czy nie dyskryminuje — nie powinna działać na rynku europejskim. Kropka.
Perspektywa praktyczna wygląda inaczej. Firmy, które wdrażają EU AI Act, mówią, że wymogi dokumentacyjne są czasochłonne, ale wykonalne. Problem leży gdzie indziej — w niejasnych kryteriach i braku konkretnych wytycznych. „Wysokie ryzyko” to kategoria interpretacyjna. Jeden organ nadzoru może uznać chatbot HR za bezpieczny, inny — za wymagający pełnej dokumentacji. Bez jednolitych standardów krajowych firmy działają w szarej strefie.
Protip ✅
Jeśli nie masz budżetu na pełen audyt — zacznij od minimum: opis modelu, dane treningowe, procedury nadzoru. To 80% tego, czego wymaga EU AI Act, za 20% kosztów zewnętrznego audytu.
Co będzie dalej — i jak się nie spłonąć
EU AI Act to już nie projekt. To obowiązujące prawo, które Komisja Europejska egzekwuje bez litości. Pierwsze grzywny — od 10 do 100 tysięcy euro — to sygnał ostrzegawczy. W 2026 roku, kiedy wszystkie przepisy wejdą w pełną moc, kary wzrosną wielokrotnie. Firmy, które teraz liczą na to, że „jakoś się uda”, ryzykują bankructwo.
Polska ma mało czasu na wdrożenie krajowych wytycznych. UOKiK i Ministerstwo Cyfryzacji obiecują gotowe dokumenty do końca kwietnia 2025 roku, ale polskie firmy działające na rynku UE nie mogą czekać. Europejskie organy nadzoru kontrolują już teraz, a brak polskich wytycznych nie jest wymówką.
Co zrobić, jeśli Twoja firma oferuje AI na rynku unijnym? Po pierwsze: sprawdź, czy Twój system zalicza się do kategorii wysokiego ryzyka. Jeśli tak — przygotuj dokumentację modelu, testów bezpieczeństwa i procedur nadzoru. Po drugie: nie czekaj na polskie wytyczne. Wzoruj się na dokumentach wydanych przez inne kraje UE — np. Francja i Niemcy już opublikowały szczegółowe checklisty dla firm. Po trzecie: jeśli nie masz zasobów na pełen audyt — zacznij od minimum. Niekompletna dokumentacja to lepiej niż brak dokumentacji.
Komisja Europejska postawiła sprawę jasno: EU AI Act to nie negocjacje. Firmy, które nie dostosują się do przepisów, zapłacą. Pierwsze grzywny to dopiero rozgrzewka. Pytanie nie brzmi „czy zapłacisz”, tylko „ile”.
