AI Act to pierwsza na świecie kompleksowa regulacja sztucznej inteligencji — opublikowana w Dzienniku Urzędowym UE 12 lipca 2024 roku, w życie weszła 1 sierpnia 2024, pełne przepisy dla systemów wysokiego ryzyka obowiązują od sierpnia 2026.
Dla właściciela firmy korzystającego z nowoczesnego ERP z funkcjami AI (automatyczne prognozowanie, scoring, rekomendacje, automatyzacja HR) AI Act nie jest abstrakcyjną regulacją — dotyczy konkretnych narzędzi, których Państwo używacie na co dzień.
Szerszy kontekst AI w ERP znajdziecie w pillar AI w systemach ERP — praktyczne wdrożenie 2026.
Kto jest kim w AI Act
AI Act definiuje trzy role z różnymi obowiązkami:
Provider (dostawca)
Firma, która projektuje i wprowadza na rynek system AI. W kontekście ERP: Modulario, SAP, Microsoft, Salesforce jako dostawcy modułów AI.
Obowiązki: dokumentacja techniczna (Annex IV), rejestracja w bazie EU AI (dla high-risk), CE marking dla high-risk, ciągłe monitorowanie po wdrożeniu.
Deployer (wdrożeniowiec/użytkownik)
Firma, która używa systemu AI w swojej działalności. W kontekście ERP: Wasza firma korzystająca z modułu AI prognozowania, scoringu klientów, automatyzacji HR.
Obowiązki: ocena wpływu (fundamental rights impact assessment dla high-risk), monitoring systemu AI, transparentność wobec pracowników, prowadzenie rejestru AI.
Importer / dystrybutor
Pośrednicy w łańcuchu dostaw systemu AI — mniej istotni dla typowego SMB.
Klasyfikacja ryzyka systemów AI — co to oznacza dla ERP
AI Act dzieli systemy AI na 4 kategorie ryzyka:
Niedopuszczalne ryzyko (zakaz od lutego 2025)
Absolutnie zakazane systemy AI — m.in. social scoring, manipulacja podprogowa, niektóre systemy biometryczne. Żadne standardowe ERP nie wchodzi w tę kategorię.
Wysokie ryzyko (Annex III — rozszerzone obowiązki)
To jest kluczowa kategoria dla ERP. Systemy AI wchodzące w zakres Annex III wymagają:
- Dokumentacji technicznej (Annex IV)
- Oceny ryzyka i testowania
- Nadzoru ludzkiego
- Rejestracji w bazie EU AI
- Fundamental rights impact assessment
Systemy ERP typowo zaliczane do wysokiego ryzyka:
- AI w rekrutacji i HR — ranking CV, scoring kandydatów, monitoring wydajności pracowników, rekomendacje dotyczące awansów
- Credit scoring i ocena ryzyka finansowego — automatyczna ocena wiarygodności kredytowej klientów
- Biometria — rozpoznawanie twarzy dla kontroli dostępu
- Infrastruktura krytyczna — systemy zarządzania w energetyce, wodociągach (rzadkie w SMB)
Umiarkowane ryzyko (obowiązki transparentności)
Systemy AI, które wchodzą w interakcję z ludźmi lub generują treści — muszą informować użytkownika, że ma do czynienia z AI.
Systemy ERP typowo w tej kategorii:
- Chatboty i AI asystenci (muszą ujawniać, że są AI)
- AI generujące treści (oferty, opisy produktów) — muszą oznaczać treści AI-generated
- Systemy emotion recognition (jeśli dostawca je stosuje)
Niskie / minimalne ryzyko (brak specjalnych obowiązków)
Większość standardowych automatyzacji ERP:
- Prognozowanie zapasów — AI przewiduje potrzeby zakupowe
- Rekomendacje produktowe — cross-sell/up-sell w CRM
- Automatyczna kategoryzacja dokumentów — przypisywanie faktur do kont
- Wykrywanie anomalii w transakcjach finansowych
- Optymalizacja procesów — planowanie produkcji, harmonogramowanie
Obowiązki firmy jako deployer systemów AI wysokiego ryzyka
Jeśli Wasza firma używa ERP z modułami AI wysokiego ryzyka (szczególnie AI w HR lub scoring klientów), macie następujące obowiązki od sierpnia 2026:
1. Fundamental Rights Impact Assessment (FRIA)
Ocena wpływu na prawa podstawowe — analogiczna do DPIA w GDPR. Dokumentuje:
- Które prawa mogą być naruszone przez system AI
- Jak zarządzacie ryzykiem dla tych praw
- Jakie środki ochronne zostały wdrożone
2. Rejestr systemów AI
Prowadzenie wewnętrznego rejestru wszystkich systemów AI wysokiego ryzyka — opis, dostawca, cel zastosowania, data wdrożenia, ocena ryzyka, status compliance.
3. Nadzór ludzki (human oversight)
Dla systemów AI wysokiego ryzyka: zawsze możliwość interwencji ludzkiej. Automaty HR nie mogą podejmować finalnych decyzji bez weryfikacji przez człowieka.
4. Transparentność wobec pracowników
Pracownicy muszą być poinformowani, jeśli podlegają decyzjom wspomaganym przez AI (rekrutacja, ocena wydajności). To nakładka na prawa GDPR (przejrzyste informowanie).
5. Monitoring po wdrożeniu
Ciągłe monitorowanie wydajności systemu AI — detekcja dryfu modelu, raportowanie incydentów do providera, aktualizacja oceny ryzyka.
Co musi zapewnić dostawca ERP
Dostawca ERP jako provider systemów AI jest obowiązany dostarczyć:
| Dokument | Zawartość |
|---|---|
| Dokumentacja techniczna (Annex IV) | Opis systemu, architektura, dane treningowe, metryki |
| Instrukcja dla deployera | Jak wdrożyć, monitorować i utrzymać system zgodnie z AI Act |
| Informacje o danych treningowych | Źródła, skład, potencjalne uprzedzenia (biases) |
| Metryki dokładności | Dokładność, precyzja, recall systemu AI |
| Ograniczenia i przypadki brzegowe | W jakich sytuacjach AI może się mylić |
| Procedury raportowania incydentów | Jak zgłaszać poważne incydenty AI do dostawcy |
Brak tej dokumentacji od dostawcy ERP to poważny red flag — uniemożliwia Wam spełnienie własnych obowiązków deployera.
Checklist compliance AI Act dla firm używających ERP
Faza 1: Inventory (do marca 2026)
- Zinwentaryzować wszystkie moduły AI w używanym ERP
- Zbierz od dostawcy ERP informację, które moduły mają funkcje AI
- Oceń, które systemy AI wchodzą w zakres Annex III (high risk)
- Zidentyfikuj systemy AI wchodzące w interakcję z pracownikami lub klientami
Faza 2: Klasyfikacja i ocena ryzyka (do maja 2026)
- Sklasyfikuj każdy system AI według kategorii ryzyka AI Act
- Dla systemów high-risk: zleć lub przeprowadź FRIA
- Sprawdź, czy dostawca ERP ma dokumentację Annex IV
- Zidentyfikuj luki compliance
Faza 3: Implementacja procedur (do lipca 2026)
- Stwórz wewnętrzny rejestr systemów AI
- Przygotuj procedury nadzoru ludzkiego dla high-risk AI
- Opracuj procedury informowania pracowników (przejrzystość AI)
- Przeszkol HR i menedżerów w zakresie AI Act
Faza 4: Ongoing compliance (od sierpnia 2026)
- Monitoruj wydajność systemów AI (drift detection)
- Prowadź log incydentów AI i raportuj do dostawcy
- Aktualizuj FRIA przy istotnych zmianach systemu AI
- Coroczny przegląd rejestru systemów AI
AI Act a GDPR — nakładające się obowiązki
AI Act i GDPR mają wiele nakładających się obszarów — zwłaszcza przy systemach AI przetwarzających dane osobowe:
| Aspekt | GDPR | AI Act |
|---|---|---|
| Ocena ryzyka | DPIA | FRIA (Fundamental Rights Impact Assessment) |
| Przejrzystość | Klauzule informacyjne | Informowanie o decyzjach AI |
| Prawa podmiotów | Prawo do wyjaśnienia (art. 22) | Prawo do nadzoru ludzkiego |
| Minimalizacja danych | Zasada minimalizacji | Jakość i skład danych treningowych |
| Bezpieczeństwo danych | Art. 32 | Robustność i cybersecurity systemu AI |
Firmy, które mają dobrze wdrożone GDPR, mają znacznie łatwiejszy start z AI Act — wiele procedur jest analogicznych.
Kary za naruszenie AI Act
| Naruszenie | Kara maksymalna |
|---|---|
| Zakazane systemy AI (niedopuszczalne ryzyko) | €35 mln lub 7 % globalnego obrotu |
| Naruszenia przepisów dla high-risk | €15 mln lub 3 % globalnego obrotu |
| Fałszywe informacje dla organów | €7,5 mln lub 1 % globalnego obrotu |
Dla SMB z obrotem 5–50 mln EUR potencjalne kary są proporcjonalnie niższe, ale reputacyjne konsekwencje audytu są poważne.
Modulario i AI Act
Modulario jako dostawca ERP z modułami AI przygotowuje dla klientów pełen AI Act Documentation Pack — zgodnie z wymogami Annex IV. Dla modułów AI klasyfikowanych jako high-risk (m.in. AI rekomendacje w HR) dostępna jest dokumentacja FRIA-template i instrukcje dla deployerów.
Szczegóły w dokumentacji bezpieczeństwa i compliance. Szerszy kontekst AI w ERP w pillar AI w systemach ERP — praktyczne wdrożenie 2026.
Często zadawane pytania
Czy AI Act UE dotyczy mojej firmy jako użytkownika ERP? Tak, jeśli Państwa firma używa ERP z funkcjami AI (automatyczne prognozowanie, rekomendacje cenowe, scoring ryzyka klientów, automatyczne decyzje HR). Jako „deployer” systemu AI ponosicie odpowiedzialność za zgodność z AI Act — w szczególności za prowadzenie rejestru AI, przeprowadzanie oceny ryzyka oraz transparentne informowanie pracowników o decyzjach podejmowanych przez AI. Dla systemów AI wysokiego ryzyka (HR, kredyt, ocena klientów) obowiązki są znacznie większe.
Jakie systemy AI w ERP są klasyfikowane jako wysokie ryzyko zgodnie z AI Act? AI Act Annex III definiuje systemy AI wysokiego ryzyka — dla typowego ERP dotyczy to: (1) systemów AI w HR — ranking kandydatów, monitoring wydajności, automatyczne decyzje o zwolnieniu, (2) systemów creditscoring i oceny ryzyka finansowego klientów, (3) systemów decyzji biometrycznych (rozpoznawanie twarzy dla dostępu), (4) systemów AI w infrastrukturze krytycznej. Standardowe automatyzacje ERP — prognozowanie zapasów, rekomendacje produktowe, kategoryzacja dokumentów — zazwyczaj należą do niskiego lub umiarkowanego ryzyka.
Kiedy wchodzi w życie AI Act i jakie mam terminy? AI Act UE wszedł w życie 1 sierpnia 2024 roku. Harmonogram: 6 miesięcy (luty 2025) — zakaz systemów AI niedopuszczalnego ryzyka; 12 miesięcy (sierpień 2025) — przepisy dotyczące systemów AI ogólnego przeznaczenia (GPAI); 24 miesiące (sierpień 2026) — pełne przepisy dla systemów AI wysokiego ryzyka. Dla firmy korzystającej z ERP: do sierpnia 2026 musicie mieć inventory systemów AI, ocenę ryzyka i procedury zgodności z AI Act.
Co zrobić jeśli dostawca ERP nie zapewnia dokumentacji AI Act? Traktujcie to jako red flag. Dostawca ERP jako „provider” ma obowiązek dostarczyć dokumentację techniczną AI zgodnie z AI Act (Annex IV) — opis działania systemu, dane treningowe, metryki wydajności, ograniczenia. Bez tej dokumentacji nie możecie jako deployer spełnić własnych obowiązków (ocena ryzyka, rejestr AI, zarządzanie). Standardem jest, że dostawca ERP dostarcza „AI Act documentation pack” wraz z każdym modułem AI.