Większość firm pyta dziś, jak przygotować się do AI Act. Znacznie ważniejsze pytanie brzmi jednak: skąd w ogóle wiedzieć, że któryś z używanych systemów jest systemem wysokiego ryzyka?
To nie jest akademicki problem prawny. To bardzo praktyczne ryzyko zarządcze. W wielu organizacjach AI nie działa już jako eksperymentalny chatbot, lecz jako element procesów HR, sprzedaży, obsługi klienta, finansów, edukacji czy bezpieczeństwa. Często jest ukryta w funkcjach gotowych platform, które firma kupiła jako narzędzie do automatyzacji pracy. I właśnie dlatego klasyfikacja może okazać się trudniejsza niż samo wdrożenie.
AI Act nie uznaje systemu za wysokiego ryzyka dlatego, że jest nowoczesny, złożony albo oparty na dużym modelu językowym. Kluczowe jest coś innego: do czego ten system jest używany i jaki wpływ może mieć na człowieka.
Jeżeli AI pomaga zdecydować, kto dostanie pracę, kredyt, awans, dostęp do świadczenia, ocenę w szkole albo możliwość skorzystania z ważnej usługi, organizacja powinna zapalić czerwoną lampkę. Właśnie w takich miejscach technologia przestaje być wyłącznie narzędziem efektywności, a zaczyna współkształtować decyzje o realnych konsekwencjach.
Najprostszy test dla zarządu nie brzmi więc: „czy korzystamy z AI?”. Brzmi: „czy AI wpływa na decyzję dotyczącą człowieka?”. Jeśli odpowiedź jest twierdząca, kolejny krok to sprawdzenie, czy dany przypadek użycia mieści się w katalogu obszarów wysokiego ryzyka, takich jak zatrudnienie, edukacja, dostęp do usług finansowych, infrastruktura krytyczna, biometria, migracja czy wybrane usługi publiczne.
Dobrym przykładem jest HR. Sam system do zarządzania rekrutacją nie musi jeszcze być problemem. Ale jeśli moduł AI analizuje CV, filtruje kandydatów, tworzy ranking osób zaproszonych na rozmowę albo ocenia dopasowanie pracownika do stanowiska, sytuacja staje się zupełnie inna. Z perspektywy AI Act znaczenie ma nie etykieta produktu, lecz jego funkcja w procesie decyzyjnym.
Podobnie jest w finansach. Model wykorzystywany do wykrywania oszustw może mieć inną klasyfikację niż system oceniający zdolność kredytową osoby fizycznej. Dla biznesu różnica jest zasadnicza, bo ta druga kategoria bezpośrednio wpływa na dostęp człowieka do usługi finansowej.
Jednym z najczęstszych błędów organizacji jest przekonanie, że ryzyko znika, jeśli „ostateczną decyzję podejmuje człowiek”. W praktyce to zależy od tego, czy nadzór człowieka jest realny. Jeżeli pracownik jedynie zatwierdza rekomendację systemu, nie rozumie jej podstaw i nie ma czasu ani kompetencji, by ją zakwestionować, kontrola może być pozorna.
To ważna zmiana myślenia. AI Act nie pyta tylko o to, czy człowiek formalnie występuje w procesie. Pyta, czy ma realną możliwość interpretacji wyniku, zatrzymania działania systemu, odwrócenia decyzji lub podjęcia niezależnej oceny.
Po zakwalifikowaniu systemu jako wysokiego ryzyka AI przestaje być wyłącznie projektem IT. Staje się elementem ładu organizacyjnego. Firma musi wiedzieć, jakie ryzyka generuje system, na jakich danych działa, kto nadzoruje jego użycie, jak dokumentowane są decyzje i co dzieje się, gdy system zaczyna działać nieprawidłowo.
W praktyce oznacza to kilka podstawowych obowiązków. Organizacja potrzebuje procesu zarządzania ryzykiem, kontroli jakości danych, dokumentacji technicznej i operacyjnej, logowania działań systemu, realnego nadzoru człowieka oraz monitorowania działania AI po wdrożeniu. W przypadku dostawców dochodzą również obowiązki związane z oceną zgodności, rejestracją i wykazaniem, że system spełnia wymagania regulacyjne.
Dla firm kupujących gotowe rozwiązania oznacza to zmianę sposobu rozmowy z dostawcami. Pytanie „jak skuteczny jest wasz model?” nie wystarczy. Coraz ważniejsze będą pytania o klasyfikację systemu, dokumentację, dane treningowe, mechanizmy kontroli, podział odpowiedzialności i możliwość audytu.
Największe ryzyko nie polega więc na tym, że firma świadomie wdroży system wysokiego ryzyka. Prawdziwy problem zaczyna się wtedy, gdy organizacja nie zauważy, że taki system już działa w jednym z jej procesów. Szczególnie gdy jest częścią większej platformy, aktualizacji oprogramowania albo modułu kupionego jako zwykła automatyzacja.
Dlatego pierwszy krok zgodności z AI Act nie powinien zaczynać się od procedur, lecz od inwentaryzacji. Firma musi wiedzieć, gdzie korzysta z AI, w jakich procesach, wobec jakich osób i z jakim wpływem na decyzje. Dopiero wtedy można sensownie mówić o klasyfikacji, obowiązkach i odpowiedzialności.

