AI Act: lista kontrolna dla systemów wysokiego ryzyka – praktyczny przewodnik dla polskich fintechów
zespół BazaPrawa | 30 grudnia 2023
1. Dlaczego temat jest pilny?
-
Wejście w życie: 1 sierpnia 2024 r.
-
Kluczowe daty dla fintechów
Obowiązek Data stosowania Zakazy (np. scoring społeczny) + AI-literacy 2 lutego 2025 Zasady dla modeli ogólnego przeznaczenia (GPAI) 2 sierpnia 2025 Systemy wysokiego ryzyka (kredyt scoring, biometryczne KYC itd.) 2 sierpnia 2026 – wydłużone do 2 sierpnia 2027, jeżeli AI jest wbudowana w inny produkt (digital-strategy.ec.europa.eu)
Kara za niezgodność może sięgnąć 35 mln € lub 7 % globalnego obrotu (modelop.com).
2. Czy Twój algorytm wpadnie do "wysokiego ryzyka"?
Rozporządzenie automatycznie klasyfikuje jako wysokiego ryzyka m.in.:
- AI do oceny zdolności kredytowej osób fizycznych (credit scoring) (artificialintelligenceact.eu)
- Biometryczne systemy uwierzytelniania w procesach KYC/on-boarding (kategoria: "dostęp do usług finansowych")
- Ocena ryzyka prania pieniędzy lub finansowania terroryzmu, jeśli wyniki wpływają na decyzję o odmowie usługi
🔍 Wyjątek: czysto fraud-detekcja (wykrywanie nadużyć) nie jest wysokiego ryzyka – pozostaje w ryzyku "ograniczonym" (artificialintelligenceact.eu).
3. Provider vs. Deployer – kogo dotyczą obowiązki?
| Rola w łańcuchu | Typowy przykład w fintechu | Kluczowe artykuły |
|---|---|---|
| Provider – tworzy lub "białkuje" model | polski scale-up udostępniający model scoringu bankom | art. 16 AI Act (artificialintelligenceact.eu) |
| Deployer – integruje i używa w praktyce | bank, BNPL, pożyczka ratalna, broker płatności | art. 26 AI Act (artificialintelligenceact.eu) |
Startup, który trenuje model sam, będzie providerem i deployerem jednocześnie.
4. Checklist 11-kroków dla polskiego fintechu
| # | Co zrobić? | Dlaczego? |
|---|---|---|
| 1 | Zmapuj use-case vs. Aneks III | Ustalenie statusu ryzyka |
| 2 | Określ rolę (provider/deployer) i podmioty w łańcuchu | Nad kim leży obowiązek CE & rejestracji |
| 3 | Analiza praw podstawowych (FRIA) | Obowiązkowa przed wdrożeniem (art. 27) |
| 4 | System zarządzania ryzykiem (ISO 42001 / ENISA AI RMF) | Wymóg art. 9; ułatwia audyty KNF |
| 5 | Data governance – dokumentuj pochodzenie, bias, balans płci | Art. 10 zapobiega dyskryminacji kredytowej |
| 6 | Dokumentacja techniczna + logi automatyczne | Art. 11–12; KNF może żądać w 7 dni |
| 7 | Ludzki nadzór "human-in-the-loop" – procedura eskalacji | Art. 14 |
| 8 | Testy dokładności, odporności, cyberbezpieczeństwa | Art. 15; zgraj z wymogami DORA 2025 (ceelegalmatters.com) |
| 9 | Ocena zgodności + CE lub self-assessment (jeżeli spełniasz normy zharmonizowane) | Art. 43–48 |
| 10 | Rejestracja w unijnej bazie wysokiego ryzyka (EUDAMED-style) | Art. 71 |
| 11 | Monitoring po wdrożeniu & raport incydentów mniej niż 15 dni | Art. 72–73 |
5. Polski kontekst regulacyjny
-
Projekt polskiej ustawy o systemach AI (16 października 2024) przewiduje organ nadzorczy i sandboxy AI (cliffordchance.com).
-
KNF już sygnalizuje, że podejdzie do AI tak jak do modeli IRB – oczekiwana jest soft-law-owa rekomendacja w II kw. 2026 (dudkowiak.com).
-
Wymogi AI Act trzeba skorelować z:
- RODO (profilowanie + zautomatyzowane decyzje)
- DORA (operational resilience)
- Ustawą AML (monitoring transakcji)
6. Jak zacząć – plan 90 dni
- Tydzień 1–2 – warsztat z product i legal: mapa systemów AI vs. Aneks III
- Tydzień 3–4 – luka zgodności (gap-analysis) → plan remediacji
- Miesiąc 2 – wdrożenie QMS i rejestru danych; draft FRIA
- Miesiąc 3 – testy, procedura human-oversight, polityka incydentów
⏳ Uwagi dla startupów: AI Act przewiduje regulatory sandboxes oraz "ulgi dla MŚP" (art. 62); warto aplikować wcześnie, bo KNF zapowiada pierwszą kohortę sandboxu jeszcze w 2025 r.
Podsumowanie
AI Act jest dla polskich fintechów tym, czym RODO było dla e-commerce: game-changerem wymagającym pełnej dokumentacji i "privacy-by-design" – tylko że dla algorytmów. Zaczynając już dziś, masz ponad rok, by:
- Ustawić governance zgodny z art. 9–17,
- Wypróbować sandbox KNF,
- Wpisać system do unijnej bazy i spokojnie otrzymać oznakowanie CE przed deadlinem w sierpniu 2026/27.
Brak przygotowań to nie tylko ryzyko grzywny do 7 % obrotu, ale też ryzyko biznesowe – nikt nie kupi "czarnej skrzynki", której nie wolno legalnie użyć.