EU AI Act dla IT i telekomunikacji

Czym jest EU AI Act?

EU AI Act, czyli Rozporządzenie Parlamentu Europejskiego i Rady w sprawie sztucznej inteligencji, to pierwsza na świecie kompleksowa regulacja prawna poświęcona systemom AI, która weszła w życie w sierpniu 2024 roku. Dokument wprowadza klasyfikację systemów sztucznej inteligencji według poziomu ryzyka — od minimalnego po niedopuszczalne — i nakłada na firmy obowiązki proporcjonalne do stopnia zagrożenia, jakie dany system może stwarzać dla użytkowników oraz społeczeństwa. Pełne stosowanie przepisów rozłożone jest na kilka etapów, przy czym najważniejsze wymagania dotyczące systemów wysokiego ryzyka obejmą organizacje do 2026 roku.

EU AI Act a branża IT i telekomunikacja

Sektor IT i telekomunikacji znalazł się w centrum zainteresowania regulatora z bardzo konkretnego powodu: to właśnie firmy z tej branży najczęściej tworzą, wdrażają i utrzymują systemy sztucznej inteligencji. Operatorzy telekomunikacyjni wykorzystują algorytmy AI do zarządzania siecią, przewidywania awarii i wykrywania fraudów. Dostawcy oprogramowania integrują modele językowe w narzędziach do obsługi klienta, automatyzacji procesów biznesowych i analizy danych. Firmy IT świadczące usługi chmurowe udostępniają infrastrukturę, na której działają systemy AI innych podmiotów — a to oznacza odpowiedzialność nie tylko wobec własnych klientów, ale i wobec organów nadzoru.

Przykładem bezpośredniego zastosowania regulacji w telekomunikacji są systemy oceny wiarygodności kredytowej klientów przy zawieraniu umów abonamentowych — klasyfikowane jako systemy wysokiego ryzyka. Podobnie chatboty obsługujące reklamacje, jeśli podejmują decyzje mające wpływ na prawa konsumenta, podlegają szczególnym wymogom przejrzystości. W obszarze IT krytyczne znaczenie mają systemy monitorowania pracowników oraz narzędzia rekrutacyjne oparte na AI, które unijny prawodawca objął restrykcyjnymi zasadami dokumentowania i audytu.

Warto podkreślić, że regulacja dotyczy nie tylko producentów systemów AI, ale również ich dostawców, dystrybutorów i podmiotów wdrażających gotowe rozwiązania na własne potrzeby. Operator telekomunikacyjny, który kupuje gotowy system do wykrywania anomalii sieciowych, musi upewnić się, że spełnia on wymogi EU AI Act — nawet jeśli sam go nie wytworzył.

Kluczowe wymagania

• Klasyfikacja ryzyka systemów AI: Każda organizacja musi zinwentaryzować wszystkie używane i tworzone systemy AI oraz przypisać im odpowiednią kategorię ryzyka zgodnie z Załącznikiem III do rozporządzenia. Systemy zarządzania infrastrukturą krytyczną (np. sieci telekomunikacyjne) są automatycznie uznawane za wysokiego ryzyka.
• Dokumentacja techniczna i rejestracja: Systemy wysokiego ryzyka wymagają szczegółowej dokumentacji technicznej obejmującej opis działania modelu, dane treningowe, metryki wydajnościowe oraz procesy walidacji. Podmioty publiczne i wybrane prywatne mają obowiązek rejestracji w unijnej bazie danych systemów AI.
• Nadzór ludzki nad decyzjami AI: Systemy wysokiego ryzyka muszą umożliwiać skuteczny nadzór ze strony człowieka, w tym możliwość ręcznego przesłonięcia lub zatrzymania decyzji podjętej przez algorytm. Dotyczy to szczególnie systemów obsługi klienta podejmujących decyzje o przyznaniu usług.
• Przejrzystość wobec użytkowników: Użytkownicy końcowi muszą być informowani o tym, że wchodzą w interakcję z systemem AI. Chatboty i voiceboty w obsłudze klienta operatorów telekomunikacyjnych muszą jasno ujawniać swój automatyczny charakter na początku każdej rozmowy.
• Zarządzanie danymi i jakość zbiorów treningowych: Organizacje muszą wdrożyć procesy weryfikacji jakości danych używanych do trenowania modeli, w tym procedury eliminowania błędów, braków i uprzedzeń, które mogłyby prowadzić do dyskryminacji.
• Cyberbezpieczeństwo i odporność systemu: Systemy AI wysokiego ryzyka muszą być odporne na ataki adversarialne, manipulację danymi i nieautoryzowany dostęp. Firmy IT i telekomunikacyjne są zobligowane do wdrożenia mechanizmów wykrywania i reagowania na incydenty.
• Ocena zgodności przed wdrożeniem: Przed wprowadzeniem systemu wysokiego ryzyka na rynek lub do użytku wymagana jest ocena zgodności — w przypadku niektórych kategorii przeprowadzona przez akredytowaną jednostkę notyfikowaną.
• Zakaz określonych zastosowań AI: Regulacja zakazuje systemów do oceniania społecznego obywateli, biometrycznej kategoryzacji na podstawie wrażliwych cech oraz zdalnej identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej w celach innych niż ściśle określone w przepisach.

Kroki wdrożenia w firmie z branży IT i telekomunikacja

1. Powołanie zespołu odpowiedzialnego za zgodność z EU AI Act. Wdrożenie regulacji wymaga współpracy prawników, specjalistów ds. bezpieczeństwa, inżynierów AI oraz przedstawicieli zarządu. W większych organizacjach warto rozważyć wyznaczenie dedykowanego AI Compliance Officera, analogicznie do roli DPO w przypadku RODO.
2. Inwentaryzacja wszystkich systemów AI. Przeprowadź pełny audyt systemów używanych i tworzonych w organizacji — od prostych algorytmów rekomendacyjnych po zaawansowane modele predykcyjne. Uwzględnij rozwiązania zewnętrzne zakupione od dostawców oprogramowania oraz usługi chmurowe z elementami AI.
3. Klasyfikacja ryzyka każdego systemu. Dla każdego zidentyfikowanego systemu określ kategorię ryzyka zgodnie z hierarchią EU AI Act: niedopuszczalne, wysokie, ograniczone lub minimalne. W branży IT szczególną uwagę zwróć na systemy zarządzania siecią, narzędzia HR, systemy antyfraudowe i chatboty obsługujące klientów.
4. Dostosowanie dokumentacji i procesów dla systemów wysokiego ryzyka. Opracuj lub zaktualizuj dokumentację techniczną, karty systemu AI, rejestry zdarzeń oraz procedury zarządzania incydentami. Zadbaj o to, by dokumentacja była aktualizowana przy każdej istotnej zmianie systemu.
5. Wdrożenie mechanizmów przejrzystości wobec użytkowników. Zaktualizuj regulaminy, polityki prywatności i interfejsy użytkownika w taki sposób, by klienci byli wyraźnie informowani o interakcji z AI. W przypadku voicebotów telekomunikacyjnych oznacza to dodanie komunikatu na początku rozmowy.
6. Ocena i aktualizacja procesów zarządzania danymi. Przeprowadź audyt zbiorów danych treningowych pod kątem jakości, reprezentatywności i potencjalnych uprzedzeń. Wdróż procedury monitorowania dryfu modeli i cyklicznej rewalidacji.
7. Nawiązanie współpracy z dostawcami zewnętrznymi. Skontaktuj się z dostawcami systemów AI używanych w organizacji i zażądaj dokumentacji zgodności z EU AI Act. Zaktualizuj umowy o powierzenie przetwarzania danych i umowy z dostawcami, uwzględniając klauzule dotyczące AI Act.
8. Szkolenie pracowników i budowa kultury odpowiedzialnego AI. Przeprowadź szkolenia dla pracowników mających kontakt z systemami AI — szczególnie w działach obsługi klienta, IT i zarządzania siecią. Regulacja wymaga, by osoby nadzorujące systemy AI rozumiały ich działanie i ograniczenia.
9. Ustanowienie procesów monitorowania i zgłaszania incydentów. Wdróż procedury wykrywania i raportowania poważnych incydentów związanych z systemami AI wysokiego ryzyka do właściwego organu nadzorczego. Termin zgłoszenia poważnego zdarzenia wynosi 15 dni od jego wykrycia.

Najczęstsze pytania

Czy EU AI Act dotyczy małych firm IT, które tylko wdrażają systemy AI innych dostawców?
Tak, choć zakres obowiązków jest mniejszy niż w przypadku producentów systemów. Firmy wdrażające systemy AI wysokiego ryzyka na własne potrzeby lub na rzecz klientów są traktowane jako podmioty wdrażające i muszą m.in. zapewnić nadzór ludzki, odpowiednio szkolić personel oraz zgłaszać incydenty organom nadzoru. Kluczowe jest jednak to, że dostawca gotowego systemu ponosi odpowiedzialność za jego zgodność techniczną z regulacją.

Jakie kary grożą za naruszenie EU AI Act w sektorze telekomunikacyjnym?
Sankcje są zróżnicowane w zależności od rodzaju naruszenia. Najsurowsze kary, sięgające 35 milionów euro lub 7 procent globalnego obrotu rocznego (stosuje się wyższą kwotę), dotyczą wdrożenia systemów objętych zakazem. Naruszenia dotyczące systemów wysokiego ryzyka mogą skutkować karą do 15 milionów euro lub 3 procent obrotu. Dla dużych operatorów telekomunikacyjnych oznacza to potencjalne kary wielokrotnie wyższe niż te znane z RODO.

Czy systemy zarządzania siecią telekomunikacyjną są zawsze traktowane jako systemy wysokiego ryzyka?
Systemy AI zarządzające infrastrukturą krytyczną — do której zalicza się sieci telekomunikacyjne — są co do zasady klasyfikowane jako wysokiego ryzyka zgodnie z Załącznikiem III EU AI Act. Dotyczy to przede wszystkim systemów, które mogą zakłócić świadczenie usług kluczowych dla bezpieczeństwa publicznego lub funkcjonowania państwa. Systemy pomocnicze, np. do optymalizacji zużycia energii przez stacje bazowe, mogą otrzymać niższą klasyfikację po przeprowadzeniu szczegółowej analizy ryzyka.

Od kiedy firmy IT muszą być w pełni zgodne z EU AI Act?
Harmonogram wdrożenia jest etapowy. Zakazy dotyczące najbardziej ryzykownych systemów AI obowiązują od lutego 2025 roku. Przepisy dotyczące systemów ogólnego zastosowania (GPAI), w tym dużych modeli językowych, weszły w życie w sierpniu 2025 roku. Pełne wymagania dla systemów wysokiego ryzyka — najbardziej istotne dla branży IT i telekomunikacji — obowiązują od sierpnia 2026 roku. Oznacza to, że organizacje mają ograniczony czas na przeprowadzenie audytów, wdrożenie dokumentacji i dostosowanie procesów.

Podsumowanie

EU AI Act to regulacja, która fundamentalnie zmienia sposób, w jaki firmy IT i telekomunikacyjne mogą tworzyć, wdrażać i zarządzać systemami sztucznej inteligencji — i choć harmonogram daje pewien czas na przygotowania, odkładanie działań na ostatnią chwilę oznacza wysokie ryzyko kar i utraty zaufania klientów. Wdrożenie wymogów regulacji to jednocześnie szansa na zbudowanie realnej przewagi konkurencyjnej: firmy, które transparentnie i odpowiedzialnie komunikują sposób działania swoich systemów AI, zyskują w oczach klientów i partnerów biznesowych. Zacznij od inwentaryzacji systemów AI już dziś i skonsultuj wyniki z prawnikami oraz specjalistami ds. compliance, zanim terminy staną się problemem, a nie motywatorem.