Firma technologiczna z Mazowsza wdrożyła wiosną 2025 roku narzędzie do automatycznej oceny wniosków kredytowych. System analizował dane klientów i generował decyzje bez udziału człowieka. Nikt w firmie nie zadał sobie pytania, czy to właśnie jest system wysokiego ryzyka w rozumieniu AI Act. Odpowiedź okazała się kosztowna.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – AI Act – weszło w życie 1 sierpnia 2024 roku. Systemy sklasyfikowane jako wysokiego ryzyka podlegają obowiązkowej ocenie zgodności przed wprowadzeniem na rynek. Błędna klasyfikacja lub jej brak grozi zakazem stosowania systemu i karami do 30 milionów EUR lub 6% globalnego obrotu rocznego.
Poniższy opis przedstawia anonimizowaną sprawę z praktyki KORDECKI & Partners. Pokazuje, jak dochodzi do błędów klasyfikacyjnych, jaką strategię przyjęliśmy i jakie wnioski są przenośne na inne organizacje.
Tło sprawy – jak doszło do błędu klasyfikacyjnego?
Klient – spółka z o.o. z sektora fintech – rozwijał system scoringowy oparty na uczeniu maszynowym. Narzędzie oceniało zdolność kredytową osób fizycznych i automatycznie odrzucało wnioski poniżej określonego progu. Zarząd traktował je jako wewnętrzny „kalkulator ryzyka", a nie jako system AI w rozumieniu regulacji unijnej.
Błąd miał trzy źródła. Po pierwsze, dział IT klasyfikował system według własnej nomenklatury, bez odniesienia do Załącznika III AI Act. Po drugie, dział prawny nie uczestniczył we wdrożeniu. Po trzecie, firma działała równolegle pod reżimem DORA (Rozporządzenie UE 2022/2554) i skupiała zasoby compliance na ICT risk management, pomijając warstwę AI.
Sygnał alarmowy pojawił się z zewnątrz. Klient indywidualny złożył skargę do UODO, powołując się na przepisy RODO (Rozporządzenie UE 2016/679) dotyczące zautomatyzowanego podejmowania decyzji. UODO wszczęło postępowanie wyjaśniające. Dopiero wtedy zarząd zwrócił się do kancelarii.
W praktyce – wiele firm o tym zapomina – moment wdrożenia systemu jest ostatnim momentem, kiedy klasyfikacja jest jeszcze bezkosztowa. Każdy dzień operacyjnego stosowania niesklasyfikowanego systemu to potencjalna ekspozycja na odpowiedzialność.
Jaką strategię przyjęła kancelaria?
Pierwszym krokiem było ustalenie stanu faktycznego. Zebraliśmy dokumentację techniczną systemu, logi decyzyjne z ostatnich 12 miesięcy i umowy z dostawcami modeli bazowych. Analiza zajęła 10 dni roboczych. Bez tej podstawy jakakolwiek strategia byłaby budowana na domysłach.
Następnie przeprowadziliśmy klasyfikację według Załącznika III AI Act. System oceniający zdolność kredytową osób fizycznych wprost figuruje w tym załączniku jako system wysokiego ryzyka w obszarze dostępu do usług finansowych. Nie było tu pola do interpretacji. Klient stosował system wysokiego ryzyka bez oceny zgodności, bez dokumentacji technicznej wymaganej przez AI Act i bez rejestru w unijnej bazie danych.
Strategia obrony przed UODO opierała się na trzech filarach. Pierwszy – wykazanie dobrej wiary i natychmiastowego działania naprawczego. Drugi – oddzielenie kwestii AI Act od zarzutów RODO, bo to dwa odrębne reżimy prawne z różnymi organami nadzoru. Trzeci – przygotowanie planu zgodności z konkretnymi terminami, który można było przedstawić organowi jako dowód zaangażowania.
Równolegle doradziliśmy zawieszenie automatycznych odrzuceń i wprowadzenie tymczasowego przeglądu ludzkiego. To działanie miało znaczenie zarówno dla postępowania UODO, jak i dla ograniczenia dalszego ryzyka regulacyjnego.
Jak przebiegał proces doprowadzenia systemu do zgodności?
Proces zgodności trwał cztery miesiące. Podzieliliśmy go na trzy etapy. Każdy miał twardy termin i odpowiedzialną osobę po stronie klienta.
Etap pierwszy – dokumentacja techniczna. AI Act wymaga szczegółowego opisu systemu, danych treningowych, architektury modelu i procesu walidacji. Klient nie posiadał żadnego z tych dokumentów w wymaganej formie. Współpracowaliśmy z zewnętrznym audytorem technicznym, który przygotował dokumentację od podstaw. Koszt tego etapu wyniósł około 80 000 PLN.
Etap drugi – ocena zgodności. Systemy scoringu kredytowego nie wymagają oceny przez jednostkę notyfikowaną – dostawca może przeprowadzić ocenę wewnętrzną. Jednak musi ona być udokumentowana i spełniać wymogi Załącznika IV AI Act. Przygotowaliśmy szablon oceny i towarzyszyliśmy działowi IT przy jego wypełnianiu. Tu ujawniły się powiązania z DORA: wymogi dotyczące testowania ICT i wymogi AI Act w zakresie testowania systemu częściowo się pokrywają. Unikanie duplikacji działań to realna oszczędność.
Etap trzeci – rejestracja i wdrożenie systemu zarządzania ryzykiem. Systemy wysokiego ryzyka podlegają obowiązkowemu wpisowi do unijnej bazy danych. Wdrożyliśmy też wewnętrzny system zarządzania ryzykiem AI, powiązany z istniejącym frameworkiem DORA. Łączenie tych struktur – zamiast budowania osobnych silosów – to jedno z praktycznych rozwiązań, które rekomendujemy każdemu klientowi z sektora finansowego.
Dla klientów zainteresowanych szerszym kontekstem regulacyjnym przydatna może być nasza strona praktyki IP/Tech, gdzie opisujemy pełne spektrum usług w obszarze technologii i regulacji cyfrowych.
Jakie wnioski są przenośne na inne organizacje?
Sprawa pokazuje schemat, który widzimy coraz częściej. Organizacja wdraża system AI, skupiając się na funkcjonalności. Klasyfikacja regulacyjna następuje – jeśli w ogóle – po fakcie. Tymczasem AI Act wymaga, żeby klasyfikacja poprzedzała wdrożenie.
Trzy wnioski mają zastosowanie niezależnie od branży.
- Klasyfikację przeprowadź przed wdrożeniem, nie po skardze – Załącznik III AI Act zawiera zamknięty katalog systemów wysokiego ryzyka; weryfikacja zajmuje dni, nie miesiące.
- Oddziel reżimy prawne – AI Act, RODO i DORA nakładają się, ale mają różnych nadzorców i różne terminy; mylenie ich spowalnia działania naprawcze.
- Dokumentacja techniczna to nie formalność – brak dokumentacji uniemożliwia obronę przed organem nadzorczym, nawet jeśli system jest faktycznie bezpieczny.
- Połącz compliance AI z istniejącymi frameworkami – integracja z DORA lub ISO 27001 redukuje koszty i duplikację pracy.
Warto też pamiętać o wymiarze znaku towarowego i ochrony danych w kontekście modeli AI. Jeśli system przetwarza dane osobowe i jednocześnie generuje treści lub decyzje, kancelaria IP w Warszawie powinna uczestniczyć w analizie już na etapie projektowania. Reaktywne podejście – jak w opisanej sprawie – zawsze jest droższe.
Więcej o sporach wynikających z błędów proceduralnych w projektach regulacyjnych – w tym o mechanizmach ochrony przed skutkami opóźnień – można znaleźć w naszej analizie dotyczącej adjudykacji w kontrakcie FIDIC, gdzie analogiczne problemy z klasyfikacją ryzyka pojawiają się w zupełnie innym kontekście.
Co do checklist wdrożeniowej – minimalny zestaw działań przed uruchomieniem systemu AI obejmuje:
- Weryfikację według Załącznika III AI Act (klasyfikacja ryzyka).
- Przygotowanie dokumentacji technicznej zgodnej z Załącznikiem IV.
- Przeprowadzenie oceny zgodności (wewnętrznej lub przez jednostkę notyfikowaną).
- Rejestrację w unijnej bazie danych systemów wysokiego ryzyka.
- Wdrożenie systemu zarządzania ryzykiem AI i wyznaczenie osoby odpowiedzialnej.
Konkretna sytuacja Państwa firmy wymaga indywidualnej analizy. Błędna klasyfikacja systemu AI – lub jej brak – zamyka drogę do legalnego stosowania narzędzia i naraża organizację na nieodwracalne konsekwencje finansowe oraz reputacyjne. Czas na działanie jest przed wdrożeniem, nie po wszczęciu postępowania.
Jeśli Państwa spółka wdraża lub planuje wdrożyć system AI i nie przeprowadziła jeszcze klasyfikacji według AI Act – przeprowadzimy audyt klasyfikacyjny, przygotujemy dokumentację techniczną i wesprzemy rejestrację w unijnej bazie danych: info@kordeckipartners.com.
Często zadawane pytania
P: Skąd wiem, czy mój system AI należy do kategorii wysokiego ryzyka?
O: Podstawą jest Załącznik III do Rozporządzenia (UE) 2024/1689. Wymienia on osiem obszarów zastosowań, w tym systemy oceny zdolności kredytowej, rekrutację pracowników i biometrię. Jeśli Państwa system należy do jednej z tych kategorii, obowiązki zgodności są automatyczne. Weryfikacja powinna nastąpić przed wdrożeniem – nie po skardze do organu nadzorczego.
P: Czy AI Act i RODO to ten sam reżim prawny?
O: To powszechne nieporozumienie. RODO (Rozporządzenie UE 2016/679) i AI Act (Rozporządzenie UE 2024/1689) to odrębne akty prawne z różnymi organami nadzoru i różnymi sankcjami. RODO stosuje UODO, AI Act będzie nadzorowany przez organ wyznaczony przez Polskę na podstawie artykułu 70 AI Act. Naruszenie jednego rozporządzenia nie wyklucza jednoczesnego naruszenia drugiego.
P: Ile kosztuje doprowadzenie systemu wysokiego ryzyka do zgodności z AI Act?
O: Koszty zależą od stopnia skomplikowania systemu i stanu istniejącej dokumentacji. W opisanej sprawie sama dokumentacja techniczna kosztowała około 80 000 PLN. Całkowity koszt procesu zgodności – z audytem, oceną i wdrożeniem zarządzania ryzykiem – wyniósł ponad 200 000 PLN. Wdrożenie klasyfikacji przed uruchomieniem systemu jest wielokrotnie tańsze niż działania naprawcze po fakcie.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, AI Act, DORA i ochrony danych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.