Nowości

Komisja Europejska od 2 sierpnia zacznie karać twórców najpotężniejszych modeli AI

PrawoPatryk Raba
Fot. acediscovery, Wikimedia Commons (CC BY 4.0)

Kończy się okres karencji w unijnym AI Act - od 2 sierpnia 2026 roku Komisja Europejska będzie mogła nakładać kary na twórców modeli o systemowym ryzyku, takich jak GPT czy Gemini, za sposób ich trenowania i testowania.

Spis treści
  1. Dwa poziomy obowiązków
  2. Co może zrobić Komisja
  3. Zasoby kadrowe pod znakiem zapytania
  4. Co to oznacza dla polskich firm

Dwa lata po wejściu w życie unijnego rozporządzenia o sztucznej inteligencji kończy się okres, w którym najwięksi twórcy modeli AI mogli działać bez realnej groźby kary. Od 2 sierpnia 2026 roku Komisja Europejska i unijny Urząd ds. AI zyskują pełne uprawnienia do kontrolowania i karania firm rozwijających najpotężniejsze modele, w tym za to, jak były trenowane.

Rozporządzenie o sztucznej inteligencji, znane jako AI Act, wchodziło w życie etapami. W lutym 2025 roku zaczęły obowiązywać zakazy najbardziej kontrowersyjnych praktyk, takich jak masowa inwigilacja biometryczna. W sierpniu 2025 roku pojawiły się pierwsze obowiązki dla twórców modeli ogólnego przeznaczenia, ale bez realnego mechanizmu egzekwowania. Dopiero 2 sierpnia 2026 roku Komisja zyskuje pełne narzędzia nadzorcze i finansowe wobec tej grupy firm.

Dwa poziomy obowiązków

Rozporządzenie dzieli twórców modeli ogólnego przeznaczenia na dwie kategorie. Wszyscy dostawcy muszą publikować co pół roku aktualizowane podsumowania danych, na których trenowane są ich modele. To wymóg stosunkowo lekki, dotyczący każdej firmy oferującej model językowy w Unii Europejskiej, niezależnie od jej wielkości.

Druga kategoria obejmuje modele uznane za niosące systemowe ryzyko. Próg wyznacza moc obliczeniowa użyta do treningu - powyżej 10 do potęgi 25 operacji zmiennoprzecinkowych model automatycznie trafia do tej grupy. W praktyce oznacza to najnowsze, najbardziej zaawansowane systemy czołowych laboratoriów. Firmy rozwijające takie modele muszą prowadzić rygorystyczne testy, oceniać ryzyko, raportować poważne incydenty związane z działaniem modelu oraz utrzymywać odpowiedni poziom zabezpieczeń cyberbezpieczeństwa.

Co może zrobić Komisja

Od 2 sierpnia Urząd ds. AI może żądać od dostawców dokumentacji i informacji technicznych, przeprowadzać własne testy modeli, nakazywać wdrożenie środków ograniczających ryzyko, a w skrajnych przypadkach żądać wycofania modelu z unijnego rynku. Dopiero teraz te uprawnienia są powiązane z realną groźbą finansową - karami do 15 mln euro lub 3 proc. globalnego obrotu firmy, a w przypadku praktyk zakazanych wprost - do 35 mln euro lub 7 proc. obrotu.

Eksperci prawa unijnego zwracają uwagę, że pierwsze decyzje karne prawdopodobnie nie sięgną maksymalnych stawek. Precedensy będą raczej dotyczyć konkretnych, dobrze udokumentowanych naruszeń niż symbolicznych kar na pokazanie siły regulatora. Jednocześnie samo posiadanie takiego arsenału zmienia kalkulację ryzyka po stronie firm takich jak OpenAI, Anthropic czy Google DeepMind, które muszą teraz traktować zgodność z unijnymi wymogami jako stały koszt prowadzenia działalności w Europie, a nie opcjonalny gest dobrej woli.

Zasoby kadrowe pod znakiem zapytania

Wątpliwości budzi jednak zdolność samego Urzędu ds. AI do egzekwowania nowych uprawnień. Instytucja zatrudnia obecnie nieco ponad 125 osób, z czego tylko część zajmuje się bezpośrednio nadzorem nad modelami ogólnego przeznaczenia. Eksperci powołani do oceny gotowości regulatora szacują, że do 2030 roku potrzeba będzie ponad 160 dedykowanych pracowników, by nadzór był realny, a nie deklaratywny. Dla porównania, brytyjski AI Safety Institute, odpowiednik unijnego urzędu w Wielkiej Brytanii, zatrudniał już w sierpniu 2025 roku około 250 osób.

Ta dysproporcja rodzi pytanie, na ile Komisja będzie w stanie faktycznie kontrolować kilkanaście najpotężniejszych modeli na świecie, skoro każdy z nich wymaga głębokiej analizy technicznej, dostępu do danych treningowych i oceny ryzyka systemowego. Krytycy wskazują, że bez znaczącego wzmocnienia kadrowego nowe uprawnienia mogą pozostać w dużej mierze na papierze przez pierwsze miesiące obowiązywania.

Co to oznacza dla polskich firm

Dla większości polskich przedsiębiorstw nowe przepisy nie oznaczają bezpośredniego ryzyka kar, bo te dotyczą przede wszystkim samych twórców największych modeli, a nie firm, które z tych modeli korzystają. Praktyczne znaczenie ma jednak rosnąca presja na porządkowanie tak zwanego shadow AI, czyli nieautoryzowanego korzystania z narzędzi sztucznej inteligencji przez pracowników poza wiedzą działów IT i compliance. Analizy prawnicze wskazują, że zjawisko to dotyczy większości firm w Polsce, a każda aktualizacja systemu AI może w praktyce oznaczać nowe obowiązki wynikające z klasyfikacji ryzyka.

Doradcy prawni rekomendują firmom korzystającym z modeli objętych nowymi przepisami, żeby już teraz mapowały wszystkie wykorzystywane narzędzia sztucznej inteligencji, od licencjonowanych platform takich jak Copilot czy Gemini, po nieformalne rozwiązania wdrażane oddolnie przez zespoły. Wraz z aktywacją pełnych uprawnień Komisji rośnie też prawdopodobieństwo, że dostawcy modeli zaczną przenosić część nowych obowiązków dokumentacyjnych i sprawozdawczych na swoich klientów biznesowych w Unii Europejskiej.

Źródła: Europe's AI Act commission gains fining power for training practices (spacedaily.com), AI Act 2026 i 2027, jakie kary grożą za naruszenie przepisów o sztucznej inteligencji (gazetaprawna.pl), analiza wdrożenia AI Act dla przedsiębiorstw (startbrain.ai)

Udostępnij: