Klasyfikacja ryzyka AI Act — metoda krok po kroku

AI Act (rozporządzenie UE 2024/1689) przypisuje każdy system AI do jednego z czterech poziomów ryzyka: niedopuszczalne (zakazane), wysokie, ograniczone i minimalne. O obowiązkach decyduje poziom ryzyka, nie technologia. Większość obowiązków dla systemów wysokiego ryzyka zaczyna obowiązywać 2 sierpnia 2026, a część zakazów obowiązuje już od lutego 2025. Poniżej metoda, która prowadzi pojedynczy system przez tę klasyfikację krok po kroku.

To nie jest checklista gotowości dla zarządu (tę znajdziesz osobno). To metoda dla konkretnego systemu: na końcu wiesz, w którym koszyku ryzyka się znajduje i jakie obowiązki z tego wynikają.

Krok 1. Czy to w ogóle „system AI”?

AI Act dotyczy „systemów AI” w rozumieniu art. 3 — oprogramowania, które na podstawie danych wejściowych generuje wyniki (predykcje, treści, rekomendacje, decyzje) z pewną autonomią. Zwykły skrypt regułowy czy arkusz kalkulacyjny to nie jest system AI. Jeśli to nie system AI — AI Act nie nakłada obowiązków. Jeśli tak — przejdź dalej.

Krok 2. Czy system realizuje praktykę zakazaną (art. 5)?

Część zastosowań jest po prostu zakazana, a zakaz ten obowiązuje już od lutego 2025 r. Należą do nich m.in. scoring społeczny, techniki manipulacyjne wykorzystujące podatności, rozpoznawanie emocji w pracy i edukacji oraz nieukierunkowane pozyskiwanie wizerunków do baz rozpoznawania twarzy. Zakazu nie da się „udokumentować” — taki system trzeba wycofać lub przeprojektować. Jeśli czysto — przejdź dalej.

Krok 3. Czy system jest „wysokiego ryzyka”?

Do wysokiego ryzyka prowadzą dwie ścieżki:

• system jest komponentem bezpieczeństwa produktu objętego unijnym prawem harmonizacyjnym (Załącznik I — np. maszyny, wyroby medyczne), albo
• realizuje zastosowanie z Załącznika III: rekrutacja i HR, scoring kredytowy i dostęp do usług, edukacja i egzaminy, infrastruktura krytyczna, biometria, egzekwowanie prawa, dostęp do świadczeń publicznych.

Jeśli tak — obowiązuje najcięższy reżim: system zarządzania ryzykiem, jakość i nadzór nad danymi, dokumentacja techniczna, rejestrowanie zdarzeń (logi), nadzór człowieka oraz wymogi dokładności i cyberbezpieczeństwa. Obowiązki dla systemów z Załącznika III zaczynają obowiązywać 2 sierpnia 2026; dla systemów wbudowanych w produkty regulowane (Załącznik I) okres przejściowy jest dłuższy.

Krok 4. Czy są obowiązki przejrzystości (art. 50)?

Nawet jeśli system nie jest „wysokiego ryzyka”, może podlegać obowiązkom przejrzystości: chatbot musi ujawnić, że rozmówca rozmawia z AI, a treści generowane lub zmienione przez AI (w tym deepfake) trzeba oznaczać. To poziom ryzyka ograniczonego — obowiązki są lżejsze, ale realne.

Krok 5. Reszta to ryzyko minimalne

Większość zastosowań biznesowych — wewnętrzne wyszukiwanie, podsumowania, asystenci na firmowych dokumentach — to ryzyko minimalne, bez obowiązków prawnych z AI Act. Dobre praktyki (testy, ewaluacje, nadzór) pozostają dobrowolne, ale to one decydują, czy system działa wiarygodnie.

Krok 6. Osobna warstwa: model ogólnego przeznaczenia (GPAI)

Jeśli Twój system stoi na modelu ogólnego przeznaczenia (np. dużym modelu językowym), dochodzi osobna warstwa obowiązków dla GPAI — głównie po stronie dostawcy modelu, obowiązująca od 2 sierpnia 2025. Dla Ciebie istotne jest, czy dostawca te obowiązki spełnia (dokumentacja, polityka praw autorskich) — to część Twojej należytej staranności.

Kto odpowiada: dostawca czy podmiot stosujący?

AI Act rozdziela obowiązki między „dostawcę” (provider — kto buduje lub wprowadza system pod własną marką) i „podmiot stosujący” (deployer — kto go używa). Większość firm „tylko używa” gotowych narzędzi i jest podmiotem stosującym. Ale uwaga: jeśli istotnie dostroisz model, zmienisz jego przeznaczenie albo wprowadzisz go pod własną marką, możesz stać się dostawcą — z cięższym zestawem obowiązków. Klasyfikację rób więc zawsze parami: poziom ryzyka razy Twoja rola.

W skrócie

Dla każdego systemu odpowiedz po kolei: (1) czy to system AI, (2) czy zakazany, (3) czy wysokiego ryzyka, (4) czy są obowiązki przejrzystości, (5) jeśli nie — minimalne, (6) na jakim modelu GPAI stoi i jaka jest Twoja rola. Wynik to konkretny poziom ryzyka, lista obowiązków i wskazana osoba odpowiedzialna — podstawa, której wymaga każdy audyt zgodności.

Co dalej

Klasyfikacja to pierwszy krok. Pełną listę pytań, na które musi umieć odpowiedzieć zarząd, znajdziesz w checkliście gotowości AI Act. Jak domykamy ten temat w praktyce — audyt, klasyfikacja, governance — opisujemy na stronie zgodności z AI Act. Jeśli chcesz przejść tę metodę na swoich systemach, zacznij od audytu.