Firma fintech z Warszawy wdrożyła wiosną 2025 roku narzędzie do automatycznej oceny zdolności kredytowej. Algorytm analizował dane klientów i generował decyzje w czasie rzeczywistym. Nikt w firmie nie zadał sobie pytania, czy system wymaga oceny zgodności przed uruchomieniem. Trzy miesiące później audyt wewnętrzny ujawnił problem – i otworzyła się wyścig z czasem.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – AI Act – klasyfikuje systemy sztucznej inteligencji według poziomu ryzyka. Systemy wysokiego ryzyka stosowane w ocenie kredytowej, rekrutacji i biometrii wymagają obowiązkowej oceny zgodności przed wprowadzeniem na rynek. Przepisy w zakresie systemów wysokiego ryzyka stosuje się od 2 sierpnia 2026 roku, choć samo rozporządzenie weszło w życie 1 sierpnia 2024 roku.

Poniższy opis przedstawia zanonimizowaną sprawę z polskiego rynku. Pokazuje, jak firma z sektora finansowego przeszła przez klasyfikację systemu, naprawiła braki dokumentacyjne i uniknęła konsekwencji, które – przy innym scenariuszu – zamknęłyby jej drogę do ekspansji na rynki UE.

Tło sprawy – jak firma weszła w szarą strefę AI Act?

Klient prowadził platformę pożyczkową obsługującą kilkadziesiąt tysięcy wniosków miesięcznie. System scoringowy działał od lat – najpierw jako zestaw reguł, potem jako model uczenia maszynowego. Aktualizacje były stopniowe. Nikt nie traktował kolejnych wersji jako „nowego systemu". To klasyczna pułapka ewolucji technicznej.

AI Act definiuje system AI szeroko. Obejmuje modele generujące wyniki, rekomendacje lub decyzje na podstawie danych wejściowych. Scoring kredytowy wpisuje się w Załącznik III rozporządzenia jako system wysokiego ryzyka stosowany w obszarze dostępu do usług finansowych. Firma tego nie wiedziała – lub wiedziała, ale nie wyciągnęła wniosków operacyjnych.

Audyt wewnętrzny przeprowadzony w czerwcu 2025 roku wykazał trzy braki. Po pierwsze – brak dokumentacji technicznej wymaganej przez art. 11 AI Act. Po drugie – brak systemu zarządzania ryzykiem zgodnego z art. 9. Po trzecie – brak procedury nadzoru ludzkiego nad decyzjami algorytmu, wymaganej przez art. 14. Każdy z tych braków samodzielnie stanowił naruszenie przyszłych wymogów. Razem tworzyły poważny problem regulacyjny.

Równolegle firma podlegała wymogom AML i compliance finansowego. Nakładanie się reżimów – AI Act, RODO, DORA – oznaczało, że żaden z nich nie mógł być adresowany w izolacji.

Jak wyglądała strategia klasyfikacji i naprawy?

Pierwszym krokiem było ustalenie, czy system rzeczywiście kwalifikuje się jako wysokiego ryzyka. Brzmienie Załącznika III AI Act jest precyzyjne: systemy AI stosowane do oceny zdolności kredytowej osób fizycznych przez podmioty inne niż małe instytucje finansowe objęte wyłączeniami. Platforma klienta nie korzystała z żadnego wyłączenia. Klasyfikacja była jednoznaczna.

Strategia naprawcza objęła cztery elementy. Najpierw – inwentaryzacja systemu i sporządzenie dokumentacji technicznej zgodnej z art. 11. Następnie – wdrożenie systemu zarządzania ryzykiem z identyfikacją zagrożeń dla praw podstawowych. Trzeci krok to zbudowanie procedury nadzoru ludzkiego z realnym prawem do interwencji. Czwarty – rejestracja systemu w unijnej bazie danych systemów wysokiego ryzyka, gdy baza zostanie uruchomiona.

  • Dokumentacja techniczna systemu AI (art. 11 AI Act) – opis modelu, danych treningowych, ograniczeń
  • System zarządzania ryzykiem (art. 9) – ciągły, nie jednorazowy
  • Nadzór ludzki (art. 14) – procedury interwencji przy błędnych decyzjach
  • Zgodność z RODO – ocena skutków dla ochrony danych (DPIA) przy profilowaniu

Kwestia RODO wymagała osobnej uwagi. Profilowanie klientów na potrzeby scoringu to przetwarzanie danych osobowych mogące rodzić skutki prawne. Rozporządzenie (UE) 2016/679 – RODO – nakłada obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA) w takich przypadkach. Firma nie miała aktualnej DPIA. Uzupełnienie jej stało się elementem pakietu compliance.

Osobną warstwę stanowiło rozporządzenie DORA – (UE) 2022/2554 – obowiązujące od 17 stycznia 2025 roku. Dla podmiotów finansowych oznacza ono wymogi zarządzania ryzykiem ICT, w tym systemami AI jako elementem infrastruktury cyfrowej. Rejestr aktywów ICT klienta nie obejmował modelu scoringowego jako odrębnego zasobu. To kolejna luka do wypełnienia. Więcej o nakładaniu się regulacji finansowych i technologicznych można przeczytać w analizie regulacji kryptoaktywów MiCA w Polsce.

Czego uczy ta sprawa – jakie wnioski są przenoszalne?

Sprawa odsłania schemat powtarzający się w polskich firmach technologicznych i fintech. System AI nie powstaje jako projekt regulacyjny – powstaje jako projekt produktowy. Klasyfikacja według AI Act jest refleksją, nie punktem wyjścia. To błąd strukturalny, który generuje koszty naprawcze wielokrotnie wyższe niż koszt prewencyjnej analizy prawnej.

Firma z opisanej sprawy zakończyła projekt naprawczy w ciągu czterech miesięcy. Koszt obejmował pracę prawną, techniczną i audytorską. Alternatywą byłoby wejście w okres stosowania przepisów (sierpień 2026) bez zgodności – z ryzykiem kar do 30 milionów euro lub 6% globalnego obrotu rocznego, zależnie od tego, która kwota jest wyższa.

Drugi wniosek dotyczy identyfikacji systemu. Ewolucja modelu – kolejne wersje, aktualizacje danych treningowych, rozszerzenie zakresu decyzji – może zmienić klasyfikację. System, który nie był systemem wysokiego ryzyka w wersji 1.0, może nim być w wersji 3.0. Firmy powinny wbudować przegląd klasyfikacji w cykl zarządzania produktem AI.

Trzeci wniosek: nakładanie się reżimów regulacyjnych (AI Act, RODO, DORA) nie jest wyjątkiem – jest regułą dla podmiotów finansowych i technologicznych. Kancelaria IP Warszawa pracująca z klientami z tych sektorów musi rozumieć wszystkie trzy warstwy jednocześnie. Izolowane podejście do każdego rozporządzenia generuje luki między nimi.

Sprawa pokazała też, że znak towarowy i ochrona danych mogą być ze sobą powiązane. Firma planowała rejestrację marki dla swojego produktu AI w Urzędzie Patentowym RP. Brak zgodności z AI Act stanowił ryzyko dla wartości marki – i argument za przyspieszeniem projektu naprawczego, nie jego odkładaniem.

Konkretna sytuacja Państwa firmy wymaga oceny uwzględniającej specyfikę systemu, sektor i aktualny stan dokumentacji. Brak klasyfikacji przed sierpniem 2026 roku to nieodwracalne zamknięcie drogi do legalnego działania na rynku UE bez kosztownej procedury naprawczej.

Jeśli Państwa spółka wdrożyła lub planuje wdrożyć system AI w obszarze oceny kredytowej, rekrutacji lub biometrii – przeprowadzimy klasyfikację, ocenę luk i projekt dokumentacji zgodnej z AI Act: info@kordeckipartners.com.

Często zadawane pytania

P: Od kiedy przepisy AI Act dotyczące systemów wysokiego ryzyka zaczną być stosowane?

O: Rozporządzenie (UE) 2024/1689 weszło w życie 1 sierpnia 2024 roku. Przepisy dotyczące systemów wysokiego ryzyka wymienionych w Załączniku III stosuje się od 2 sierpnia 2026 roku. Oznacza to, że firmy mają czas na przygotowanie dokumentacji i wdrożenie wymaganych procedur – ale termin ten zbliża się szybciej, niż wynika z kalendarza projektowego.

P: Czy system scoringowy działający przed wejściem w życie AI Act musi przejść ocenę zgodności?

O: To częste nieporozumienie. AI Act nie wyłącza systemów działających przed datą stosowania przepisów, jeśli są one nadal eksploatowane lub aktualizowane po tej dacie. System scoringowy, który był rozwijany i modyfikowany, traktowany jest jako system wprowadzony na rynek lub oddany do użytku w rozumieniu rozporządzenia. Ocena zgodności jest wymagana niezależnie od daty pierwotnego uruchomienia.

P: Ile kosztuje projekt dostosowania systemu AI do wymogów AI Act?

O: Koszt zależy od złożoności systemu, stanu istniejącej dokumentacji i liczby nakładających się regulacji (RODO, DORA). Projekty naprawcze dla systemów średniej złożoności w sektorze finansowym zamykają się zazwyczaj w przedziale od kilkudziesięciu do kilkuset tysięcy złotych, wliczając pracę prawną, techniczną i audytorską. Koszt prewencyjnej analizy klasyfikacyjnej jest wielokrotnie niższy.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa własności intelektualnej, technologii i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.