Co zarząd powinien wiedzieć o AI Act przed wakacyjnymi decyzjami

2 godzin temu
Zdjęcie: sztuczna inteligencja, ai


AI Act coraz mniej przypomina odległy temat prawny, a coraz bardziej staje się testem dojrzałości organizacji. Dla zarządów najważniejsze pytanie nie brzmi już, czy firma korzysta ze sztucznej inteligencji, ale czy potrafi wskazać, gdzie AI realnie działa, kto za nią odpowiada i ile będzie kosztować jej bezpieczne skalowanie.

Europejskie rozporządzenie w sprawie sztucznej inteligencji weszło w życie 1 sierpnia 2024 roku, ale jego obowiązki są uruchamiane etapami. To właśnie ten etapowy charakter może być dla firm najbardziej zdradliwy. AI Act nie pojawia się w organizacji jednego dnia jako pojedynczy obowiązek do odhaczenia. Wchodzi do budżetów, umów z dostawcami, procesów zakupowych, polityk bezpieczeństwa, dokumentacji technicznej i decyzji o tym, które projekty AI wolno skalować, a które wymagają zatrzymania lub przebudowy.

Dlatego lato 2026 roku jest dla zarządów momentem szczególnym. Część obowiązków związanych z AI Act jest już realnym punktem odniesienia dla rynku, część została lub może zostać przesunięta w ramach europejskich prac nad uproszczeniem regulacji cyfrowych, ale kierunek zmian pozostaje jasny: firmy będą musiały udowodnić, iż sztuczna inteligencja nie jest u nich zestawem eksperymentów bez właściciela, ale kontrolowanym elementem działalności operacyjnej. Według doniesień z ostatnich miesięcy realizowane są prace i konsultacje dotyczące klasyfikacji systemów wysokiego ryzyka oraz harmonogramu stosowania wybranych przepisów, w tym tych dotyczących systemów wysokiego ryzyka. To nie znosi presji na firmy. Raczej przesuwa akcent z reaktywnego dostosowania na przygotowanie architektury zarządzania AI.

Największym błędem byłoby potraktowanie AI Act jako kosztu prawnego. W praktyce jest to regulacja, która wymusza przegląd całego portfela projektów AI. o ile firma używa narzędzi generatywnych w marketingu, automatyzuje selekcję kandydatów, wdraża chatboty w obsłudze klienta, analizuje ryzyko kredytowe, wspiera decyzje HR albo integruje modele AI z procesami operacyjnymi, nie wystarczy ogólna polityka „odpowiedzialnego AI”. Potrzebna jest wiedza, gdzie system działa, na jakich danych, w jakim celu, kto go nadzoruje, kto zatwierdził jego użycie i jaki wpływ może mieć na klientów, pracowników lub partnerów biznesowych.

To oznacza, iż budżet na AI w drugim półroczu nie powinien obejmować wyłącznie licencji, integracji i pilotaży. Powinien zawierać także środki na inwentaryzację zastosowań AI, klasyfikację ryzyka, dokumentację, monitoring, szkolenia, audyty dostawców i przebudowę procesów decyzyjnych. W wielu firmach to będzie mniej efektowna część transformacji, ale bez niej skalowanie AI pozostanie ryzykowne. Szczególnie tam, gdzie narzędzia są wdrażane oddolnie przez działy biznesowe, bez centralnego rejestru i bez jasnych zasad zatwierdzania.

AI Act zmienia także sposób myślenia o roadmapach technologicznych. Dotąd wiele organizacji planowało AI według logiki: szybki pilotaż, dowód wartości, decyzja o wdrożeniu. Teraz między pilotażem a skalowaniem pojawia się dodatkowy próg: gotowość organizacyjna. Projekt, który dobrze działa w małym zespole, nie musi być gotowy do wdrożenia w całej firmie, jeżeli nie ma opisanych danych wejściowych, mechanizmów nadzoru człowieka, ścieżki reakcji na błędy, zasad dokumentowania zmian modelu i jasnego właściciela po stronie biznesu.

Ten problem będzie szczególnie widoczny w przypadku agentów AI. System, który nie tylko generuje odpowiedź, ale samodzielnie planuje działania, korzysta z narzędzi, pobiera dane z różnych źródeł i wykonuje wieloetapowe zadania, jest trudniejszy do kontrolowania niż klasyczna aplikacja. Najnowsze analizy dotyczące agentów AI w kontekście prawa UE wskazują, iż podstawowym zadaniem compliance jest pełna inwentaryzacja działań agenta, przepływów danych, połączonych systemów i osób, na które jego działanie może wpływać. Bez tego organizacja nie wie nawet, jaki zakres ryzyka próbuje kontrolować.

Z perspektywy zarządu najważniejsza zmiana polega jednak na czymś innym: AI przestaje być domeną samego IT. CIO przez cały czas powinien odpowiadać za architekturę, bezpieczeństwo, integracje, monitoring i techniczne standardy wdrożeń. Compliance i dział prawny muszą interpretować obowiązki, wspierać dokumentację i kontakt z regulatorami. Ale to biznes powinien odpowiadać za cel użycia AI, wpływ na proces i konsekwencje decyzji podejmowanych z pomocą systemu. Zarząd natomiast musi rozstrzygnąć, kto w organizacji ma prawo zatwierdzać nowe zastosowania AI, kto może akceptować ryzyko i które projekty są strategiczne na tyle, by dostać dodatkowy budżet na zgodność.

W praktyce przed sierpniem zarząd powinien podjąć pięć decyzji. Po pierwsze, czy firma tworzy centralny rejestr zastosowań AI, obejmujący także narzędzia używane oddolnie przez zespoły. Po drugie, kto jest właścicielem każdego istotnego systemu AI: IT, biznes, compliance, czy konkretny sponsor w zarządzie. Po trzecie, które projekty mogą potencjalnie wejść w obszar wysokiego ryzyka lub istotnego wpływu na ludzi. Po czwarte, ile środków w budżecie AI zostanie przeznaczonych nie na nowe funkcje, ale na dokumentację, dane, monitoring i nadzór. Po piąte, czy umowy z dostawcami dają firmie wystarczającą kontrolę nad informacjami o modelach, danych, ograniczeniach i zmianach w systemie.

To ostatnie może okazać się jednym z najbardziej niedocenianych kosztów AI Act. Wiele firm kupuje rozwiązania AI jako gotowe usługi, ale odpowiedzialność operacyjna nie znika tylko dlatego, iż technologia pochodzi od zewnętrznego dostawcy. o ile organizacja wdraża system w procesie biznesowym, musi rozumieć jego ograniczenia i mieć możliwość wykazania, iż używa go zgodnie z przeznaczeniem. Badania nad systemami wysokiego ryzyka wskazują, iż jednym z kluczowych problemów będzie także ocena, kiedy zmodyfikowany system AI pozostaje tym samym systemem, a kiedy zmiana jest na tyle istotna, iż wymaga ponownej oceny. Dla zarządów oznacza to konieczność finansowania nie tylko wdrożenia, ale całego cyklu życia systemu.

Najdroższe będzie nadrabianie zgodności po fakcie. o ile firma najpierw zbuduje rozbudowaną sieć zastosowań AI, a dopiero później zacznie ustalać, które dane były używane, kto zatwierdził model i jakie decyzje podejmowano z jego wsparciem, koszt porządkowania może być większy niż koszt samego wdrożenia. AI Act premiuje organizacje, które traktują zgodność jako część architektury procesu, a nie dokument przygotowywany na końcu projektu. To różnica między transformacją kontrolowaną a transformacją pozorną.

Nie oznacza to, iż AI Act powinien zatrzymać inwestycje w sztuczną inteligencję. Wręcz przeciwnie, może pomóc odróżnić projekty strategiczne od eksperymentów, które nigdy nie powinny wyjść poza pilotaż. Firmy, które już dziś zbudują rejestr zastosowań AI, jasny model odpowiedzialności i budżet na nadzór, będą mogły szybciej skalować rozwiązania w drugim półroczu. Te, które potraktują regulację jako problem prawników, mogą jesienią odkryć, iż ich największym ograniczeniem nie jest technologia, ale brak kontroli nad własną roadmapą.

AI Act nie zatrzyma inwestycji w sztuczną inteligencję, ale zmieni cenę nieprzygotowania. Dla zarządów to nie jest więc pytanie o to, czy warto inwestować w AI. To pytanie o to, czy firma ma już warunki, by robić to bezpiecznie, odpowiedzialnie i w sposób, który da się obronić przed regulatorem, klientem i własnym biznesem.

Idź do oryginalnego materiału