Polska na poważnie zabiera się za regulację sztucznej inteligencji. Ministerstwo Cyfryzacji przygotowuje ustawę o wdrażaniu AI, która w tym roku ma przejść przez procedurę legislacyjną w Sejmie. Projekt wprowadza pierwsze w kraju obligatoryjne audyty dla firm, które przekraczają próg 500 mln PLN przychodu rocznego. To nie jest puste zagrożenie — kary mogą sięgnąć aż 5% przychodu przedsiębiorstwa za niebezpieczne wdrażanie systemów AI.
Dla kontekstu: największe polskie firmy technologiczne i handlu online już teraz eksperymentują z AI w obsłudze klienta, rekomendacjach produktów czy analizach danych. Nowe prawo oznacza, że każdy taki eksperyment będzie wymagać formalnego audytu bezpieczeństwa. To zmieni sposób, w jaki polskie korporacje podchodzą do implementacji sztucznej inteligencji.
Kto podlega nowym regułom?
Oczywiście, główni zainteresowani to duże przedsiębiorstwa. Próg 500 mln PLN przychodu rocznego eliminuje większość startupów i małych firm, ale w Polsce oznacza to kilkadziesiąt podmiotów. W grę wchodzą zarówno rodzimi giganci (banki, platformy handlu online, telekomy), jak i polskie oddziały globalnych koncernów technologicznych.
Ciekawe, że regulacja ma charakter sektorowy — teoretycznie bardziej rygorystyczne wymogi mogą dotyczyć firm działających w obszarach wrażliwych, takich jak finanse, zdrowie czy bezpieczeństwo. Szczegóły jeszcze się kształtują, ale Ministerstwo Cyfryzacji zapowiada dostosowanie wymogów do ryzyka związanego z konkretnym modelem biznesowym.
Audyt AI — co to konkretnie oznacza?
Obligatoryjny audyt to nie jednorazowa papierologia. Regulacja przewiduje systematyczne sprawdzanie, czy system AI działa bezpiecznie, czy nie dyskryminuje użytkowników, czy respektuje prawo do prywatności. Polska wzoruje się tutaj na europejskim AI Act, ale idzie krok dalej — ustawodawcy chcą, aby audyty przeprowadzali niezależni eksperci, certyfikowani przez Ministerstwo Cyfryzacji.
W praktyce oznacza to dodatkowy koszt operacyjny dla dużych firm. Niezależny audyt AI dla jednego systemu będzie kosztować od kilkudziesięciu do kilkuset tysięcy złotych, w zależności od złożoności modelu i zakresu zastosowania. Firmy, które szybko się dostosują, będą miały przewagę konkurencyjną — regulacja tworzy barierę wejścia dla nowych graczy bez wystarczających zasobów na certyfikację.
Karanie za niebezpieczne wdrażanie
Część, która będzie bolała naprawdę — maksymalna kara do 5% przychodu rocznego. Dla kontekstu: dla firmy z przychodem 1 mld PLN oznacza to potencjalną grzywnę sięgającą 50 mln PLN. Ministerstwo Cyfryzacji zapowiada, że karać będzie nie tylko za naruszenie samych wymogów audytów, ale także za faktyczne niebezpieczne konsekwencje wdrożenia systemu (dyskryminacja, utrata danych osobowych, błędy w decyzjach AI).
Ustawodawca liczy na efekt odstraszający. Teoretycznie, jeśli bank wdroży AI do oceny zdolności kredytowej bez odpowiedniego audytu, a system zacznie dyskryminować określoną grupę klientów, grozi mu nie tylko zła opinia publiczna, ale konkretna kara finansowa wymierzana przez ministerstwo lub Urząd Ochrony Konkurencji i Konsumentów.
Kiedy to wejdzie w życie?
Projekt jest na etapie procedury legislacyjnej w Sejmie. Ministerstwo Cyfryzacji zakłada, że ustawa wejdzie w życie w 2026 roku, ale czeka nas jeszcze co najmniej kilka miesięcy debaty parlamentarnej. Branża biznesu już zgłasza uwagi — część firm boi się, że regulacja będzie zbyt restrykcyjna i wyhamuje innowacyjność, inni uważają, że to nadmierne zabezpieczenie dla zaledwie kilkudziesięciu firm.
Ciekawe również jest to, że ustawa ma charakter przejściowy — wprowadza się pierwszą falę regulacji, a w kolejnych latach mogą pojawić się dodatkowe wymogi lub zmiana progów dochodowych. Ministerstwo sygnalizuje, że z czasem obowiązkowe audyty mogą objąć także firmy z przychodem 250-300 mln PLN.
Co mówią duże firmy?
Polskie korporacje stoją przed wyborem. Część z nich, szczególnie banki i ubezpieczyciele, już teraz inwestuje w infrastrukturę do audytów AI — wiedzą, że regulacja nadejdzie. Inne czekają na ostateczny kształt ustawy, licząc na złagodzenie wymogów.
Sektor startupów technologicznych patrzy na to z mieszaną czułością. Z jednej strony — dla mniej rentownych startupów próg 500 mln PLN jest jak liczby z kosmosu i mogą rozwijać się bez regulacji. Z drugiej — jeśli startup odniesie sukces (Allegro, Getinx, Booksy), regulacja czeka go jak miniserial czarnej komedii.
Europa robi to samo — ale czy Polska robi to lepiej?
Polska nie wymyśliła regulacji od zera. Projekt czerpie wzorce z europejskiego AI Act, który wejdzie w pełne życie w 2026 roku. Jednak polska ustawa jest bardziej szczegółowa w kwestii obowiązkowych audytów i kar finansowych — bliżej jej do modelu karania za konkretne naruszenia niż do europejskiego podejścia opartego na kategoriach ryzyka.
To oznacza, że polska firma z przychodami 550 mln PLN będzie podlegać bardziej rygorystycznym wymogom niż jej konkurent w innym kraju UE. Z jednej strony — dodatkowy koszt. Z drugiej — ochrona wizerunku przed skandalami związanymi z AI, które mogą kosztować więcej niż certyfikacja.
Dla kogo to dobra wiadomość?
Dla firm konsultingowych zajmujących się audytami bezpieczeństwa IT to może być nowy rynek. Już teraz widać, że pojawią się specjalistyczne usługi audytów AI. Dla dużych firm technologicznych (tych, które będą mieć zasoby na dostosowanie się) — to bariera wejścia dla konkurencji. Dla konsumentów — teoretycznie powinno być bezpieczniej, choć zależy, czy audyty będą rzeczywiście drobiazgowe.
Dla polskich startupów, które liczą na szybkie skalowanie się do miliardowych przychodów? To bomba z opóźnionym zapłonem. Trzeba będzie zaplanować obsługę regulacji w strategii wzrostu.
Pierwsze testy już wkrótce
Ministerstwo Cyfryzacji zapowiada program pilotażowy z wybranymi firmami jeszcze w tym roku. Kilka dużych przedsiębiorstw będzie testować procedury audytów na zasadzie dobrowolności. To będzie ciekawe pole testowe — okaże się, czy wymogi są realistyczne, czy trzeba je łagodzić.
Polska wciąż ma szansę zostać liderem regulacji AI w Europie Środkowo-Wschodniej. Pytanie tylko, czy będzie to lider wzorem do naśladowania, czy przestrogą dla innych krajów.
