Maksymalne kary AI Act 2026 sięgają 35 milionów euro lub 7% globalnego rocznego obrotu — w zależności od tego, która kwota jest wyższa. Pierwsza fala sankcji obowiązuje już od 2 lutego 2025. Dotyczy systemów zakazanych. Natomiast pełny system kar — także dla systemów wysokiego ryzyka i modeli ogólnego przeznaczenia — wchodzi w życie 2 sierpnia 2026 (European Commission, 2024). Dlatego firmy korzystające z AI w UE mają około trzech miesięcy, aby zakończyć przygotowania. W tym artykule znajdziesz konkretne kwoty, harmonogram, listę naruszeń oraz praktyczne wskazówki, jak ograniczyć ryzyko sankcji.
Czym są kary AI Act?
Kary AI Act to administracyjne sankcje finansowe nakładane za naruszenia rozporządzenia (UE) 2024/1689 w sprawie sztucznej inteligencji. Stosują je krajowe organy nadzoru. Z kolei dla modeli ogólnego przeznaczenia (GPAI) — także AI Office Komisji Europejskiej. Co istotne, zakres podmiotowy obejmuje cały łańcuch dostaw AI. Obejmuje on dostawców systemów, importerów, dystrybutorów oraz podmioty stosujące te systemy w działalności gospodarczej.
Konstrukcja sankcji w AI Act przypomina model znany z RODO. Ponadto AI Act dodaje nową warstwę odpowiedzialności specyficzną dla systemów AI. Dotyczy ona przede wszystkim naruszeń związanych z dokumentacją techniczną, oceną ryzyka oraz nadzorem nad modelami fundamentalnymi (AI Act Explorer, 2025).
Ile wynoszą maksymalne kary AI Act 2026?
Artykuł 99 AI Act przewiduje trójstopniowy system kar. Wysokość zależy od ciężaru naruszenia i wielkości naruszającego podmiotu. [Raport instytucji międzynarodowej] Według oficjalnego tekstu opublikowanego w Dzienniku Urzędowym UE konkretne progi wyglądają następująco (Komisja Europejska, 2024):
- Do 35 mln euro lub 7% globalnego rocznego obrotu — za stosowanie zakazanych systemów AI (Art. 99 ust. 3). Dotyczy m.in. systemów manipulacji behawioralnej, social scoringu, masowego rozpoznawania twarzy w przestrzeni publicznej.
- Do 15 mln euro lub 3% globalnego rocznego obrotu — za naruszenia obowiązków dotyczących systemów wysokiego ryzyka, modeli GPAI oraz wymogów transparencji (Art. 99 ust. 4).
- Do 7,5 mln euro lub 1% globalnego rocznego obrotu — za dostarczenie nieprawdziwych, niekompletnych lub wprowadzających w błąd informacji organom nadzoru (Art. 99 ust. 5).
Warto zauważyć, że dla MŚP i startupów stosuje się niższy z dwóch progów (kwota stała lub procent obrotu), natomiast dla dużych przedsiębiorstw — wyższy. Co więcej, kary za nieprzestrzeganie zobowiązań przez dostawców modeli GPAI mogą sięgać 3% globalnego rocznego obrotu lub 15 mln euro (Art. 101).
Kogo dotyczą kary AI Act?
Kary AI Act 2026 obejmują wszystkie podmioty wprowadzające do obrotu lub stosujące systemy AI na terenie Unii Europejskiej. Co istotne, dotyczy to każdej firmy niezależnie od miejsca siedziby. W praktyce oznacza to, że amerykański dostawca chatbota udostępniający usługę polskiej firmie również podlega rozporządzeniu (artificialintelligenceact.eu, 2025).
Rozporządzenie wyróżnia cztery kluczowe role z odrębnymi obowiązkami:
- Dostawca (provider) — opracowuje system AI lub zleca jego opracowanie. Następnie wprowadza go do obrotu pod własną nazwą.
- Podmiot stosujący (deployer) — wykorzystuje system AI w ramach swojej działalności zawodowej.
- Importer — wprowadza do obrotu w UE system AI z państwa trzeciego.
- Dystrybutor — udostępnia system AI na rynku UE bez zmiany jego właściwości.
Co istotne, ten sam podmiot może pełnić kilka ról jednocześnie. W takim wypadku odpowiada za każdą z nich osobno. Przykładowo polska firma kupuje model LLM od dostawcy spoza UE. Następnie integruje go we własnym produkcie sprzedawanym w UE. W rezultacie staje się jednocześnie podmiotem stosującym i dostawcą.
Kiedy wchodzą w życie kary AI Act 2026?
Harmonogram egzekucji jest etapowy i wynika z artykułu 113 AI Act. Pierwsza data — 2 sierpnia 2024 — to wejście w życie samego rozporządzenia. Następne kamienie milowe wprowadzają poszczególne grupy obowiązków oraz odpowiadające im kary (European Commission, 2024).
Aktualnie obowiązują dwa pełne reżimy sankcji: zakazane praktyki AI (od lutego 2025) oraz wymogi dla modeli ogólnego przeznaczenia (od sierpnia 2025). Natomiast główna fala kar — dotycząca systemów wysokiego ryzyka — wejdzie w życie 2 sierpnia 2026, czyli za około trzy miesiące od dziś.
Kary AI Act vs kary RODO — porównanie
Wiele firm zna już model sankcji RODO. Jednak AI Act wprowadza wyższe progi maksymalne i częściowo inny zakres podmiotowy. Poniższa tabela pokazuje kluczowe różnice:
| Kryterium | Kary AI Act | Kary RODO |
|---|---|---|
| Maksymalna kara (najwyższy próg) | 35 mln euro lub 7% obrotu globalnego | 20 mln euro lub 4% obrotu globalnego |
| Drugi próg sankcji | 15 mln euro lub 3% obrotu | 10 mln euro lub 2% obrotu |
| Zakres podmiotowy | Cały łańcuch dostaw AI: dostawca, deployer, importer, dystrybutor | Administrator i podmiot przetwarzający dane |
| Organ nadzoru w PL | Krajowy organ ds. AI (w trakcie ustanawiania) | UODO (od 2018) |
| Pełne wejście w życie | 2 sierpnia 2026 | 25 maja 2018 |
| Łagodzenie dla MŚP | Niższy z dwóch progów | Brak preferencji formalnych |
W rezultacie firma, która już dostosowała się do RODO, ma solidną bazę proceduralną. Natomiast AI Act wymaga dodatkowej warstwy. Po pierwsze, ocen ryzyka systemów AI. Po drugie, dokumentacji technicznej. Po trzecie, monitorowania po wprowadzeniu do obrotu. Wreszcie, przejrzystości wobec użytkowników.
Jakie naruszenia podlegają najwyższym karom AI Act?
Najwyższy próg sankcji (35 mln euro / 7% obrotu) dotyczy stosowania systemów zakazanych z artykułu 5 AI Act. [Raport instytucji międzynarodowej] Pełna lista zakazanych praktyk obejmuje (Komisja Europejska, 2024):
- Systemy stosujące techniki podprogowe lub manipulację behawioralną wyrządzającą szkodę.
- Systemy wykorzystujące słabości grup szczególnie wrażliwych (dzieci, osoby w trudnej sytuacji ekonomicznej).
- Social scoring obywateli przez podmioty publiczne lub prywatne.
- Predykcja indywidualnego ryzyka popełnienia przestępstwa wyłącznie na podstawie profilowania.
- Nieukierunkowane skanowanie internetu lub CCTV w celu budowy baz rozpoznawania twarzy.
- Rozpoznawanie emocji w miejscu pracy i edukacji (z wąskimi wyjątkami).
- Kategoryzacja biometryczna ujawniająca dane wrażliwe.
- Identyfikacja biometryczna w czasie rzeczywistym w przestrzeni publicznej do celów ścigania (z wyjątkami).
Z kolei drugi próg (15 mln euro / 3% obrotu) obejmuje znacznie szerszy katalog naruszeń. W szczególności są to: brak rejestracji systemu wysokiego ryzyka w bazie danych UE, niewdrożenie systemu zarządzania ryzykiem, brak nadzoru ludzkiego oraz niewystarczająca dokumentacja techniczna. Ponadto karze podlega naruszenie obowiązków przejrzystości wobec użytkowników. Przykładem jest brak oznaczenia treści generowanych przez AI.
Kto egzekwuje kary AI Act w Polsce?
Strukturę egzekucji AI Act w Polsce ustali odrębna ustawa krajowa wdrażająca rozporządzenie. Dlatego na razie wskazania są wstępne. W projekcie aktu wskazano Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji jako organ właściwy dla większości spraw związanych z AI (Ministerstwo Cyfryzacji, 2025). Jednocześnie istniejące organy zachowają kompetencje w swoich obszarach. UODO — w sprawach styku AI z RODO. UKE — w obszarze telekomunikacji. Po trzecie, KNF — dla sektora finansowego.
Z kolei dla modeli ogólnego przeznaczenia o ryzyku systemowym egzekucją zajmie się AI Office przy Komisji Europejskiej. To organ nadzorujący największych dostawców LLM, takich jak OpenAI, Google DeepMind czy Anthropic (European Commission, 2024). W praktyce eksperci wspierający firmy w przygotowaniach do AI Act zalecają im zacząć dialog z organem już teraz. Warto nie czekać na pierwsze decyzje precedensowe.
Czy małe firmy są zwolnione z kar AI Act?
Małe i średnie przedsiębiorstwa (MŚP) oraz startupy nie są zwolnione z AI Act. Jednak rozporządzenie przewiduje dla nich kilka udogodnień. Po pierwsze, przy nakładaniu kar stosuje się niższy z dwóch progów (np. 7,5 mln euro lub 1% obrotu zamiast wyższej z tych wartości). Po drugie, dostęp do regulatory sandboxes — środowisk testowych dla innowacyjnych systemów AI — jest preferencyjny dla MŚP (Art. 62 AI Act).
Mimo to ryzyko dla mniejszych firm jest realne. Wystarczy stosować jeden zakazany system AI. W rezultacie firma naraża się na karę 7,5 mln euro lub 1% obrotu. Dla firmy z przychodem 50 mln zł rocznie oznacza to około 500 tys. zł kary. Dlatego niezależnie od skali, audyt zgodności pozostaje rekomendowanym pierwszym krokiem.
Jak przygotować firmę i uniknąć kar AI Act 2026?
Skuteczne przygotowanie do egzekucji AI Act wymaga ustrukturyzowanego procesu. Na podstawie praktyki wdrożeniowej oraz zaleceń AI Office można wyróżnić sześć kluczowych etapów:
- Inwentaryzacja systemów AI — pełna lista narzędzi AI używanych w organizacji, włącznie z chatbotami, asystentami w produktach SaaS i wewnętrznymi modelami.
- Klasyfikacja ryzyka — przypisanie każdego systemu do jednej z czterech kategorii AI Act: niedopuszczalne ryzyko, wysokie ryzyko, ograniczone ryzyko, minimalne ryzyko.
- Mapowanie ról — określenie, czy firma jest dostawcą, podmiotem stosującym, importerem czy dystrybutorem dla każdego systemu osobno.
- Wdrożenie wymaganej dokumentacji — system zarządzania ryzykiem, ocena zgodności, dokumentacja techniczna, instrukcje dla użytkowników, polityka nadzoru ludzkiego.
- Aktualizacja umów — z dostawcami AI (gwarancje zgodności, audyt) oraz z klientami (przejrzystość, odpowiedzialność).
- Szkolenia zespołu — w obszarze compliance, bezpieczeństwa, etyki AI; szczególnie dla osób podejmujących decyzje o wdrożeniu.
W praktyce większość firm potrzebuje wsparcia ekspertów. Dotyczy to zarówno kompetencji prawnych, jak i technicznych. Dlatego zespół pcsid.pl prowadzi audyt zgodności z AI Act obejmujący wszystkie sześć etapów. Co więcej, audyt jest dostosowany do skali organizacji. Dodatkowo oferujemy szkolenia AI dla zespołu compliance oraz kompleksowe wdrożenie AI z uwzględnieniem wymogów rozporządzenia.
Najczęściej zadawane pytania (FAQ)
Czy AI Act dotyczy wszystkich firm korzystających z ChatGPT?
Tak, AI Act dotyczy każdego podmiotu stosującego systemy AI w działalności gospodarczej w UE — w tym firm używających ChatGPT, Claude, Gemini lub innych asystentów. Zakres obowiązków zależy jednak od kategorii ryzyka: zwykłe użycie do pisania emaili to niskie ryzyko, natomiast podejmowanie decyzji kadrowych przez AI to już ryzyko wysokie z pełną listą obowiązków.
Kiedy wchodzą w życie pełne kary AI Act?
Pełny system kar AI Act wchodzi w życie etapami. Sankcje za stosowanie systemów zakazanych obowiązują od 2 lutego 2025. Kary dla dostawców modeli ogólnego przeznaczenia — od 2 sierpnia 2025. Główny próg kar dla systemów wysokiego ryzyka aktywuje się 2 sierpnia 2026, natomiast pełna egzekucja dla wszystkich systemów wysokiego ryzyka istniejących przed wejściem w życie — 2 sierpnia 2027.
Czy polska firma B2B świadcząca usługi tylko w Polsce podlega AI Act?
Tak. AI Act stosuje się do każdego podmiotu wprowadzającego systemy AI do obrotu w UE lub stosującego je w UE — niezależnie od miejsca siedziby klienta. Polska firma B2B świadcząca usługi w Polsce jest pełnoprawnym podmiotem objętym rozporządzeniem.
Jak udowodnić zgodność z AI Act przy kontroli?
Podstawą dowodową jest dokumentacja techniczna systemu AI obejmująca: ocenę ryzyka, opis metody trenowania (jeśli firma jest dostawcą), zestaw danych, procedury nadzoru ludzkiego, log incydentów, instrukcje dla użytkowników. Dla systemów wysokiego ryzyka wymagana jest dodatkowo deklaracja zgodności i wpis do bazy danych UE.
Czy istnieje okres przejściowy dla istniejących systemów AI?
Tak. Systemy AI wysokiego ryzyka, które zostały wprowadzone do obrotu przed 2 sierpnia 2026, mają czas do 2 sierpnia 2027 na pełne dostosowanie — pod warunkiem braku istotnych zmian w systemie. Modele ogólnego przeznaczenia wprowadzone przed 2 sierpnia 2025 mają czas do 2 sierpnia 2027.
O autorze
Zespół ekspertów pcsid.pl — praktycy wdrożeń AI w firmach i instytucjach publicznych. Specjalizujemy się w audytach zgodności z AI Act, bezpiecznych wdrożeniach modeli LLM oraz programach szkoleniowych dla zespołów. Łączymy kompetencje techniczne (architektura systemów AI, MLOps) z prawnymi (RODO, AI Act) i procesowymi (zarządzanie zmianą).
Źródła
- European Commission (2024). Regulation (EU) 2024/1689 on Artificial Intelligence (AI Act). Official Journal of the EU. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- AI Act Explorer (2025). Article 99: Penalties. Future of Life Institute. https://artificialintelligenceact.eu/article/99/
- European Commission (2024). AI Act enters into force. Digital Strategy. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- European Commission (2024). European AI Office. Digital Strategy. https://digital-strategy.ec.europa.eu/en/policies/ai-office
- Ministerstwo Cyfryzacji (2025). Projekt ustawy o systemach sztucznej inteligencji. Ministerstwo Cyfryzacji RP. https://www.gov.pl/web/cyfryzacja
