Dług etyczny: regulacje w obliczu odkryć AI (2026)

Strukturalny problem regulacji AI daje się opisać jednym zdaniem: prawo opiera się na przewidywalności, a AI generuje skutki, których nikt jeszcze nie widział w momencie pisania przepisów. AI Act próbuje ten problem zaadresować, nie rozwiązując go do końca.

Dług etyczny to różnica między tym, co technologia już potrafi, a tym, co społeczeństwo zdążyło przemyśleć, uregulować i zabezpieczyć przed nadużyciem. To pojęcie analogiczne do długu technicznego w inżynierii oprogramowania: skróty podjęte teraz dają szybki efekt, ale kumulują koszty, które ktoś kiedyś zapłaci.

W przypadku AI dług etyczny narasta z kilku powodów jednocześnie. Po pierwsze, cykle innowacji są krótsze niż cykle legislacyjne. Rozporządzenie unijne potrzebuje od propozycji Komisji do wejścia w życie przeciętnie trzech do pięciu lat. Model językowy przechodzi kolejną generację co rok lub dwa. Po drugie, skutki uboczne systemów AI są często ukryte do momentu wdrożenia na dużą skalę. Bias w modelu rekrutacyjnym ujawnia się po tysiącach decyzji, nie po jednej.

My w Cashcrown obserwujemy ten wzorzec przy każdym wdrożeniu: firma chce zautomatyzować proces, który na papierze wygląda nieryzykownie, a w trakcie audytu okazuje się, że dane treningowe zawierają wzorce dyskryminacyjne odziedziczone po poprzednich decyzjach ludzkich. Dług etyczny nie jest wirtualny. Jest w danych.

AI Act wszedł w życie w sierpniu 2024 roku. W 2025 roku zaczęły obowiązywać zakazy dla systemów niedopuszczalnego ryzyka oraz wymogi przejrzystości dla modeli GPAI. Obowiązującym terminem dla pełnych wymogów wobec systemów wysokiego ryzyka z Załącznika III pozostaje sierpień 2026 roku. W ramach pakietu upraszczającego (Digital Omnibus) Komisja zaproponowała przesunięcie tego terminu na 2 grudnia 2027 roku — do czasu przyjęcia przez Parlament i Radę wiążącą datą jest jednak sierpień 2026, więc firmy powinny planować zgodność pod ten termin. To pierwsza na świecie próba regulowania AI przez pryzmat ryzyka, a nie przez typ technologii.

Kluczowa logika AI Act: im wyższe ryzyko dla praw podstawowych i bezpieczeństwa, tym surowsze wymogi.

Czego AI Act nie rozwiązuje: nie definiuje, jak mierzyć stronniczość modelu w specyficznych kontekstach badawczych. Nie mówi, kto ponosi odpowiedzialność, gdy system AI w łańcuchu dostawców zawiedzie na etapie wnioskowania. I nie odpowiada na pytanie, jak regulować model, który uczy się po wdrożeniu, zmieniając swoje zachowanie w sposób nieprzewidywalny przez twórców.

Tutaj ai-governance staje się praktycznym narzędziem, nie tylko pojęciem prawnym: firma lub instytucja badawcza musi mieć własne procesy zarządzania AI, bo regulacja nie wystarczy.

Stronniczość dziedziczona z danych.

Model uczący się na danych historycznych odtwarza historyczne niesprawiedliwości. Algorytm oceny ryzyka kredytowego wytrenowany na danych z lat 1990-2010 może nieuchronnie faworyzować grupy demograficzne, które miały wtedy lepszy dostęp do kredytu, nie dlatego, że jest zły, ale dlatego, że dane są złe.

Rozwiązanie regulacyjne (wymóg audytu stronniczości dla systemów wysokiego ryzyka) jest konieczne, ale niewystarczające. Prawo określa, że audyt musi się odbyć. Nie mówi, kto go przeprowadzi, jakim narzędziem i jak interpretować wyniki w kontekście specyficznej dziedziny. To decyzja, która pozostaje po stronie badacza lub inżyniera systemu.

W praktyce wdrożeń widzimy, że firmy pytają: „czy nasz model przeszedł audyt” zamiast pytać „czy nasz model działa sprawiedliwie dla każdej podgrupy użytkowników”. Pierwsza odpowiedź jest zgodna z prawem. Druga jest etyczna.

Wyjaśnialność i prawo do uzasadnienia.

Explainability to techniczna zdolność do wytłumaczenia, dlaczego model podjął daną decyzję. RODO art. 22 gwarantuje prawo do niebycia poddanym wyłącznie zautomatyzowanej decyzji oraz prawo do żądania ludzkiego przeglądu. AI Act rozszerza te wymogi dla systemów wysokiego ryzyka.

Problem w tym, że „wyjaśnialność” regulacyjna (dokument, że system był audytowany) różni się od wyjaśnialności operacyjnej (użytkownik rozumie, dlaczego system odmówił wniosku). Modele o najwyższej skuteczności, jak głębokie sieci neuronowe, są często najtrudniejsze do wyjaśnienia w języku, który laik zrozumie.

My w Cashcrown przy każdym systemie decyzyjnym dla klientów stosujemy warstwę uzasadnień: model generuje decyzję, oddzielny komponent generuje uzasadnienie w języku naturalnym, a human-oversight sprawdza spójność obu przed dostarczeniem użytkownikowi. To nie jest wymóg AI Act dla wszystkich systemów, ale uznaliśmy, że jest to minimum etyczne dla każdego systemu wpływającego na decyzje człowieka.

Odpowiedzialność w łańcuchu AI.

Kto odpowiada, gdy system AI zbudowany przez firmę A, wdrożony przez firmę B, używany przez firmę C wyrządzi szkodę użytkownikowi? AI Act wprowadza podział na dostawców i wdrożeniowców, ale łańcuchy są często dłuższe: model podstawowy pochodzi od jednego dostawcy, warstwa dostosowań od drugiego, wdrożenie wykonuje trzeci. Odpowiedzialność jest rozmyta między ogniwami. Regulacja to dopiero adresuje. W tym czasie decyzje etyczne podejmują konkretne osoby w konkretnych firmach.

Human-oversight w kontekście AI Act to wymóg dla systemów wysokiego ryzyka. W kontekście etyki badań i wdrożeń to coś więcej: to decyzja projektowa, która określa, gdzie człowiek pozostaje odpowiedzialny za wynik.

Wzorzec, który stosujemy przy wdrożeniach agentów analitycznych, rozróżnia trzy rodzaje punktów kontrolnych:

Automation bias, tendencja do przyjmowania wyników systemów automatycznych bez krytycznej oceny, jest realnym zjawiskiem psychologicznym. Im szybszy i pewniejszy system, tym silniejsza pokusa, żeby pominąć weryfikację. Dobrze zaprojektowany human-gate nie spowalnia procesu. On chroni przed tym konkretnym błędem.

RODO i AI Act to dwa odrębne rozporządzenia z częściowo nakładającymi się wymogami. RODO reguluje dane osobowe. AI Act reguluje systemy AI. W praktyce większość systemów AI przetwarza dane osobowe, więc oba stosują się jednocześnie.

DPIA (ocena skutków dla ochrony danych) jest obowiązkowa, gdy przetwarzanie danych osobowych może powodować wysokie ryzyko dla praw osób fizycznych. Dla systemów AI spełniających kryteria wysokiego ryzyka z AI Act DPIA jest praktycznie zawsze wymagana.

Kluczowe punkty przecięcia:

• Automatyczne profilowanie na dużą skalę (RODO art. 22 + AI Act klasyfikacja wysokiego ryzyka)
• Dane wrażliwe w trenowaniu modeli (RODO art. 9 + AI Act wymogi zarządzania danymi)
• Prawo do usunięcia danych a wektory w bazie wiedzy modelu (RODO art. 17 + brak wyraźnego mechanizmu w AI Act)

Ten ostatni punkt jest otwarty. Jeśli dane osobowe weszły do modelu jako część zbioru treningowego, usunięcie ich z bazy surowej nie usuwa ich wpływu na wagi modelu. Regulacja tego nie rozwiązuje. Rozwiązuje to architektura systemu: systemy RAG z oddzielną bazą wiedzy pozwalają na usunięcie dokumentów bez retrenowania modelu. To wybór projektowy z etyczną konsekwencją.

Dług etyczny nie znika przez uchwalenie prawa. Zmniejsza się przez świadome decyzje projektowe, procesy i kulturę organizacyjną. Na podstawie wdrożeń, które obserwujemy, można wyróżnić kilka praktycznych warstw:

Rejestr systemów AI. Każdy system AI stosowany w organizacji powinien być skatalogowany: cel, dane treningowe, populacja użytkowników, poziom ryzyka według AI Act, osoba odpowiedzialna. Bez rejestru nie ma governance.

Audyt stronniczości przed wdrożeniem. Nie certyfikacja, tylko ustrukturyzowane pytania: skąd pochodzi zbiór treningowy, jakie grupy są nadreprezentowane, jakie były historyczne decyzje w tych danych i czy chcemy je utrwalić.

Dokumentowanie limitów systemu. Każdy system AI ma granicę pewności. Poza tą granicą odpowiedź powinna trafiać do człowieka, nie do użytkownika końcowego. Zdefiniowanie tej granicy przed wdrożeniem to decyzja etyczna, nie tylko techniczna.

Przegląd po wdrożeniu. Systemy AI dryfują. Dane wejściowe się zmieniają. Zachowanie modelu po sześciu miesiącach produkcji może różnić się od zachowania w testach. Regularne przeglądy wyników pod kątem systematycznych anomalii są częścią odpowiedzialnego wdrożenia.

Więcej o tym, jak zorganizować procesy zarządzania danymi pod AI, w artykule o governance danych do AI i o tym, jak identyfikować ryzyka w systemach decyzyjnych, w artykule o problemie czarnej skrzynki.

Częściowo. Zakazy stosowania systemów niedopuszczalnego ryzyka weszły w życie w lutym 2025 roku. Dostawcy modeli ogólnego przeznaczenia (GPAI) mają obowiązki przejrzystości obowiązujące od sierpnia 2025 roku. W ramach pakietu Digital Omnibus Komisja zaproponowała przesunięcie pełnych wymogów dla systemów wysokiego ryzyka (Załącznik III) z sierpnia 2026 na 2 grudnia 2027 roku; propozycja nie jest jeszcze przyjęta, więc obowiązującym terminem pozostaje sierpień 2026 i pod ten termin należy się przygotowywać. Firmy wdrażające systemy AI powinny sprawdzić, czy ich przypadki użycia kwalifikują się jako wysokie ryzyko, i jeśli tak, rozpocząć przygotowanie dokumentacji technicznej i oceny zgodności odpowiednio wcześniej.

AI Act definiuje systemy wysokiego ryzyka przez Załącznik III: obejmuje rekrutację, ocenę kredytową, systemy biometryczne, zarządzanie infrastrukturą krytyczną, decyzje dotyczące dostępu do usług publicznych, systemy diagnostyki medycznej wpływające na leczenie i kilka innych kategorii. Jeśli system przetwarza dane osobowe i wpływa na decyzje mające istotne skutki dla życia, zatrudnienia lub finansów osoby fizycznej, jest prawdopodobnie wysokiego ryzyka. W razie wątpliwości bezpieczniej przeprowadzić DPIA i skonsultować się z DPO.

Częściowo. Metody takie jak SHAP, LIME i attention maps dają lokalne wyjaśnienia: dlaczego model podjął tę konkretną decyzję dla tego konkretnego wejścia. Globalne wyjaśnienie całego modelu, rozumiane jako pełna przyczyna każdej decyzji, jest nieosiągalne dla głębokich sieci neuronowych. Dobra praktyka to projektowanie systemów, w których wyjaśnienie lokalne jest generowane automatycznie dla każdej decyzji i dostępne dla użytkownika na żądanie, zwłaszcza w systemach wysokiego ryzyka.

Kary są zbliżone strukturą do RODO: do 35 milionów euro lub 7% globalnego rocznego obrotu za naruszenia dotyczące systemów niedopuszczalnego ryzyka, do 15 milionów euro lub 3% za inne naruszenia. Dla systemów GPAI do 15 milionów euro lub 3% obrotu. Europejski Urząd ds. AI (AI Office) prowadzi nadzór nad modelami GPAI, a krajowe organy nadzorcze egzekwują pozostałe przepisy.

Nie przez zakup narzędzia. Przez trzy pytania do każdego systemu AI, który już działa: (1) Kto odpowiada za wyniki tego systemu? (2) Jakie dane treningowe były użyte i skąd pochodziły? (3) Co się dzieje, gdy system się myli? Odpowiedź na te trzy pytania ujawnia więcej luk etycznych niż większość formalnych audytów. Artykuł o odpowiedzialnej innowacji i o roli człowieka w pętli rozwijają te wątki w kontekście konkretnych wdrożeń.

Temat regulacji AI jest nierozerwalnie związany z pytaniem o to, jak LLM generują hipotezy w praktyce badawczej. Jeśli wdrażasz system AI w swojej organizacji i chcesz ocenić, gdzie stoją wasze procesy etyczne, narzędzie oceny gotowości pozwala zidentyfikować luki zanim pojawi się incydent.