Pierwsza na świecie kompleksowa ustawa dotycząca sztucznej inteligencji: co oznacza dla Ukrainy

Sztuczna inteligencja już dawno przestała być tylko tematem science fiction. Dzisiaj stanowi część naszej codzienności: filtruje pocztę, poleca filmy do obejrzenia wieczorem, tłumaczy teksty, a nawet pomaga lekarzom w stawianiu diagnoz. Według szacunków McKinsey generatywna sztuczna inteligencja może przynosić światowej gospodarce nawet 4,4 biliona dolarów rocznie. To więcej niż cały PKB Wielkiej Brytanii. I rzeczywiście, sztuczna inteligencja znacznie przyspieszyła wszelkie procesy.

Jednak tam, gdzie istnieją nieograniczone możliwości, pojawia się duże zagrożenie dla prywatności, bezpieczeństwa, a nawet etyki. Unia Europejska, zdając sobie z tego sprawę, opracowała ustawę o sztucznej inteligencji pod nazwą „AI Act”, aby uregulować wykorzystanie tej technologii na terytorium UE. Jednak nowe przepisy stwarzają również nowe wymagania dla firm z branży IT, w tym dla ukraińskich przedsiębiorstw. 

Co zmieni ta ustawa? Jakie są główne wymagania AI Act wobec firm pracujących z AI w Europie? I jak AI Act wpłynie na ukraiński sektor IT?
 

Czym jest ta ustawa?
 

Zanim przejdziemy do wymagań i szczegółów, warto zrozumieć, czym jest ta ustawa i kiedy została przyjęta. AI Act to pierwsza na świecie ustawa, która systematycznie reguluje rozwój i wykorzystanie sztucznej inteligencji. Została przyjęta przez Parlament Europejski w marcu 2024 roku, a w sierpniu tego samego roku weszła w życie. 

Ustawa jest wprowadzana stopniowo: pierwsze zakazy zaczęły obowiązywać już w lutym 2025 r., a cała lista wymogów dla firm wejdzie w życie w sierpniu 2026 r.

Logika ustawy jest prosta: im większy potencjalny wpływ systemu na człowieka, tym surowsze są wobec niego wymagania.

Ustawa dzieli wszystkie systemy sztucznej inteligencji na cztery kategorie ryzyka:

minimalny — większość znanych narzędzi, z którymi mamy do czynienia na co dzień: filtry antyspamowe, algorytmy rekomendacyjne na Netflixie czy YouTube, gry i podstawowe narzędzia automatyzacji. Nie stanowią one istotnego zagrożenia dla człowieka, dlatego nie ma żadnych obowiązkowych wymagań wobec nich.

ograniczone — chatboty, deepfake'i, systemy generujące tekst, obrazy lub wideo. Ryzyko tu istnieje, ale jest kontrolowane. Główny wymóg wobec nich jest jeden. Użytkownik musi zawsze wiedzieć, że komunikuje się z maszyną, a nie z człowiekiem (lub że treść została stworzona sztucznie).

wysokie – największa i najważniejsza kategoria dla biznesu. Należą do niej systemy wykorzystywane w medycynie, edukacji, rekrutacji, ocenie kredytowej, zarządzaniu infrastrukturą krytyczną i wymiarze sprawiedliwości. W przypadku takich systemów konieczne jest posiadanie jasnych instrukcji oraz kontrolowanie potencjalnych zagrożeń. Pracownicy muszą stale sprawdzać ich działanie, a także oceniać, jak wpływa to na prawa ludzi. 

Niedopuszczalne — to systemy, które stanowią zagrożenie dla praw człowieka. Obejmują one systemy oceny społecznej, które oceniają ludzi na podstawie ich zachowania lub cech osobistych; manipulacyjne algorytmy, które mogą wyrządzić szkodę psychiczną; a także technologie biometryczne służące do identyfikacji osób na podstawie wrażliwych cech (odciski palców lub twarz). Zakazowi podlega również rozpoznawanie twarzy w miejscach publicznych w czasie rzeczywistym. Wykorzystanie tych technologii jest całkowicie zabronione. Nie przewidziano żadnych wyjątków.

Na przykład wygląda to tak:

• jeśli Państwa produkt to algorytm rekomendacyjny lub filtr antyspamowy, AI Act praktycznie nie dotyczy Państwa firmy.
• jeśli tworzysz chatbota – koniecznie poinformuj użytkowników, że komunikują się z maszyną (czyli w chatbocie musi być zaznaczona informacja, że prowadzą dialog z systemem automatycznym).
• jeśli wasz system wpływa na decyzje w medycynie, finansach lub rekrutacji – przygotujcie się na obszerną dokumentację, kontrole i odpowiedzialność prawną.
• A jeśli wasz produkt zostanie zakwalifikowany do kategorii niedopuszczalnego ryzyka – trzeba będzie go po prostu zamknąć.
   

Najważniejsze, co trzeba wiedzieć — prawo dotyczy wszystkich, którzy sprzedają lub świadczą usługi AI na rynku europejskim, niezależnie od tego, gdzie znajduje się firma (w rzeczywistości tak samo jak RODO — ogólne rozporządzenie UE o ochronie danych osobowych, które zobowiązuje każdą firmę na świecie do przestrzegania europejskich zasad przetwarzania danych obywateli UE. Kary za nieprzestrzeganie tego prawa sięgają nawet 20 mln euro lub 4% globalnego obrotu firmy). 

Dlatego, jak to się mówi, jeśli współpracujesz z europejskim klientem – przestrzegaj europejskich przepisów.
 

Jakie kary przewidziano za naruszenie tego prawa?
 

Kary są w rzeczywistości bardzo wysokie. 

Jeśli firma naruszy przepisy w kategorii „niedopuszczalnego ryzyka” – musi zapłacić karę w wysokości do 35 mln euro lub 7% rocznego globalnego obrotu.

W przypadku naruszenia kategorii „wysokie ryzyko” kara wyniesie do 15 mln euro lub 3% rocznego globalnego obrotu.

Jeśli natomiast naruszone zostaną przepisy w kategorii „ograniczone ryzyko”, kara może sięgać 7,5 mln euro lub 1% rocznego globalnego obrotu.

Ponadto w każdym przypadku naruszenia brana będzie pod uwagę kwota wyższa. Dlatego dla dużych korporacji są to miliardy. Dla ukraińskich średnich przedsiębiorstw kwoty są mniejsze, ale mogą doprowadzić do upadku firmy. 
 

A co z ChatGPT, Claude, Google Gemini i innymi modelami?
 

Dla nich również obowiązują zasady. Firmy muszą wyjaśniać, na jakich danych uczyły swoje systemy, a także nie naruszać praw autorskich. Najpotężniejsze modele będą dodatkowo sprawdzane pod kątem bezpieczeństwa. Cała treść tworzona automatycznie przez sztuczną inteligencję (deepfake'i, chatboty, generowane obrazy i filmy) musi być oznaczona. Użytkownik musi wiedzieć, że to zrobiła maszyna.

Ponadto od lutego 2025 r. firmy muszą szkolić pracowników zajmujących się sztuczną inteligencją, aby rozumieli tę technologię i związane z nią potencjalne zagrożenia. 
 

Jak ta ustawa wpłynie na Ukrainę?
 

Mówienie o tym, że AI Act to „problem Brukseli”, jest możliwe tylko wtedy, gdy nie zna się rzeczywistej skali zależności ukraińskiego sektora IT od rynku europejskiego.

Ukraina jest dziś jednym z najpotężniejszych centrów technologicznych Europy Środkowo-Wschodniej. Według danych za 2024 r. nasz sektor IT wyeksportował usługi o wartości 6,4 mld dolarów, co stanowi około 37% całego eksportu usług kraju. Rynek outsourcingu szacowany jest na 1,2 mld dolarów w 2025 roku i nadal rośnie, pomimo wojny. Wśród klientów znajdują się firmy z Niemiec, Holandii, Wielkiej Brytanii i krajów bałtyckich. A to oznacza bezpośrednie objęcie przepisami AI Act.

W segmencie sztucznej inteligencji Ukraina zajmuje drugie miejsce wśród krajów Europy Środkowo-Wschodniej pod względem liczby firm zajmujących się sztuczną inteligencją. W 2025 r. było ich ponad 240. Wielkość ukraińskiego rynku sztucznej inteligencji osiągnęła 419,4 mln dolarów, a liczba specjalistów AI/ML w ciągu ostatniej dekady wzrosła pięciokrotnie i obecnie wynosi 5 200 osób.

W rzeczywistości ustawa AI Act dotyczy Ukrainy w kilku aspektach jednocześnie:

• Firmy outsourcingowe, które opracowują rozwiązania AI dla europejskich klientów, muszą przestrzegać wymogów tej ustawy. 
• Start-upy, które chcą wejść na rynek UE, muszą uwzględniać te wymagania w swoich produktach od samego początku, aby nie płacić znacznie więcej później.
• Firmy zarejestrowane w UE poprzez struktury prawne w Polsce, Estonii lub na Litwie (tzw. „shell”) również muszą spełniać wymogi AI Act. 
• Freelancerzy świadczący usługi AI dla firm w UE muszą rozumieć, jakie ryzyko niosą ze sobą ich rozwiązania.
  
   

Warto również wziąć pod uwagę, że Ukraina zmierza obecnie w kierunku integracji europejskiej. Przyjęcie przepisów zgodnych z wymogami AI Act to tylko kwestia czasu. Ministerstwo Cyfryzacji już zapowiada zamiar dostosowania technologii cyfrowych do standardów UE, a niektóre dokumenty dotyczące sztucznej inteligencji (np. Koncepcja rozwoju sztucznej inteligencji na Ukrainie) zostały opracowane z uwzględnieniem norm europejskich.

Co ekspert ds. mediów Ołeksandr Hluszenko sądzi o AI Act
 

UA.NEWS rozmawiało z ekspertem ds. mediów Oleksandrem Hluszenko na temat tej ustawy oraz tego, czy ukraiński biznes IT jest na nią gotowy. Ekspert twierdzi, że ukraińskich przedsiębiorców najbardziej szokują trzy rzeczy: wysokość kar, obciążenia biurokratyczne na etapie badań i rozwoju oraz surowe wymagania dotyczące zbiorów danych.

„Kary są drakońskie i przewyższają kary przewidziane w RODO” – dodaje Hluszenko.

Biurokracja, jak twierdzi, zaczyna się jeszcze przed napisaniem pierwszej linii kodu:

„W przypadku systemów wysokiego ryzyka trzeba stworzyć system zarządzania ryzykiem, prowadzić automatyczne logowanie zdarzeń i pisać obszerną dokumentację techniczną. A wszystko to – zanim w ogóle zaczniesz tworzyć oprogramowanie”.

Osobnym problemem są wymagania dotyczące danych:

„Programista musi udowodnić, że zbiory danych, na których uczył się model, są istotne, nie zawierają błędów i są reprezentatywne – czyli nie są stronnicze”.

W praktyce, według eksperta, oznacza to, że ukraiński startup, który zebrał miliony zdjęć z internetu do szkolenia swojego systemu, musi udowodnić, że ma prawo korzystać z tych zdjęć i że w próbie nie ma uprzedzeń rasowych. A firma programistyczna, która chce wejść na rynek UE, musi teraz zatrudnić oddzielną organizację audytową (tzw. Notified Body), aby ta sprawdziła kod i architekturę oraz zezwoliła na umieszczenie oznaczenia CE na oprogramowaniu.

„Jest to proces, który wcześniej stosowano głównie w odniesieniu do towarów fizycznych – zabawek, elektroniki. Teraz dotyczy on kodu programowego” – mówi Hluschenko.

Według Hluschenko rynek w Ukrainie podzielił się na dwie kategorie. Duzi gracze, tacy jak Grammarly, MacPaw, SoftServe, Ciklum, GlobalLogic, już aktywnie przygotowują się do wdrożenia ustawy. Tworzą wewnętrzne komitety ds. etyki AI, zatrudniają specjalistów ds. zgodności z przepisami dotyczącymi AI oraz przeprowadzają inwentaryzację wszystkich swoich produktów opartych na sztucznej inteligencji. Małe i średnie przedsiębiorstwa znajdują się w strefie największego ryzyka.

„Większość albo słyszała o ustawie tylko z daleka, albo uważa, że to ich nie dotyczy – po prostu korzystamy z API OpenAI”.

Jednak w perspektywie długoterminowej ekspert dostrzega w ustawie dużą zaletę:

„Zamiast próbować dostosować się do 27 różnych przepisów w każdym kraju UE, ukraińska firma dostosowuje się do jednego standardu. Firmy, które teraz nauczą się compliance (zgodności), zyskają ogromną przewagę konkurencyjną na rynku outsourcingu. 

Ponadto Ministerstwo Transformacji Cyfrowej Ukrainy przedstawiło w 2024 roku „Białą księgę dotyczącą regulacji AI na Ukrainie”, która przewiduje pełną synchronizację z AI Act”. 

Podaje też konkretny przykład: hipotetyczny niemiecki bank wybiera między dwoma dostawcami do opracowania systemu AI do oceny kredytowej. Firma indyjska oferuje niższą cenę, ale ukraińska – architekturę z wbudowaną zgodnością z przepisami i gotowymi szablonami dokumentacji.

„Niemiecki bank z pewnością wybierze Ukraińców, aby uniknąć kar” – dodaje ekspert.

Głuszenko dostrzega osobną szansę w nowej niszy – AI Legal Tech.

„Powstaje zupełnie nowa branża. Ukraińscy prawnicy i inżynierowie mogą tworzyć start-upy, które zautomatyzują sprawdzanie innych modeli AI pod kątem zgodności z europejskim prawem”.

Strategicznie stawia na to, że Ukraina może stać się środowiskiem testowym dla produktów AI europejskich korporacji:

„Ponieważ w UE uruchomienie systemów wysokiego ryzyka będzie wiązało się z uciążliwą biurokracją, Ukraina (dysponująca specjalnymi reżimami prawnymi, takimi jak „Dія.City” i planowane „regulacyjne piaskownice”) może zaoferować europejskim firmom idealny poligon testowy. Opracowywanie i testowanie sztucznej inteligencji będzie możliwe na Ukrainie (zgodnie z jasnymi zasadami, ale bez drakońskich europejskich kar na etapie testowania), a wprowadzanie na rynek – już jako gotowy, skalibrowany produkt”.

Na pytanie, czy za trzy lata będziemy zadowoleni z tej ustawy, Hluschenko udziela pozytywnej odpowiedzi:

„Zadziała tak zwany „efekt brukselski” (Brussels effect) – kiedy przepisy UE, ze względu na wielkość rynku europejskiego, de facto stają się światowymi standardami. Sytuacja będzie całkowicie analogiczna do wprowadzenia RODO (rozporządzenia o ochronie danych osobowych) w 2018 roku.

W pierwszych 1–2 latach po pełnym uruchomieniu (2025–2026 r.) było i jest wiele irytacji. Firmy narzekają na koszty, biurokrację, opóźnienia w wydawaniu nowych wersji i „śmierć innowacji”. Niektóre start-upy są zmuszone do zamknięcia działalności lub zmiany modelu biznesowego. Jednak za 3 lata (bliżej lat 2027–2028) wszyscy będą zadowoleni z tego prawa”.
 

Cztery kroki, które Głuszenko radzi sektorowi IT 
 

Według eksperta, start-upy powinny już teraz włączyć zasady „Trustworthy AI” (wiarygodnej sztucznej inteligencji) do swoich procesów. Hluschenko wskazuje 4 główne kroki:

1. Przeprowadzić audyt według klasyfikatora ryzyka: Szczerze ocenić swój produkt i określić, do której z czterech kategorii AI Act należy.
2. Wdrożyć normę ISO/IEC 42001 (System zarządzania sztuczną inteligencją): Chociaż AI Act nie wymaga obecnie tej konkretnej normy, jej przestrzeganie de facto spełnia 80% wymagań europejskiego regulatora dotyczących dokumentowania procesów.
3. Uporządkować dane (mapowanie danych): Udokumentować, skąd pochodzą dane do szkolenia modeli, kto jest ich właścicielem i jak są przetwarzane.
4. Zapewnienie zasady „Human-in-the-loop” (człowiek w pętli): w przypadku decyzji krytycznych należy zawsze pozostawić operatorowi możliwość przeglądu lub unieważnienia decyzji podjętej przez AI (art. 14).
    

Szara strefa została zamknięta. Wyścig się rozpoczął
 

Można powiedzieć, że AI Act będzie początkiem nowego porządku, w którym odpowiedzialność za decyzje algorytmiczne będzie prawnie ustalona i mierzalna.

Dla Ukrainy, z jej potężnym, ale wrażliwym sektorem IT, jest to jednocześnie wyzwanie i szansa. Wyzwanie – ponieważ zapewnienie zgodności z przepisami wymaga czasu, pieniędzy i wykwalifikowanej kadry, której brakuje. Szansa – ponieważ firmy, które dostosują się wcześniej niż inne, uzyskają przewagę konkurencyjną na rynku, gdzie zaufanie do technologii staje się strategicznym atutem.

W Brukseli start-upy już rywalizują o to, by jako pierwsze uzyskać certyfikację i zająć miejsce na nowym rynku. W Kijowie, Lwowie i Charkowie ten wyścig dopiero się zaczyna.

Czytaj nas na Telegram i Sends