W 2025 r. Prezes UOKiK wydał ponad 900 decyzji i nałożył 1,15 mld zł kar z zakresu ochrony konkurencji i konsumentów. Dużo? A teraz dodaj do tego AI Act, który pozwala nakładać kary do 35 mln EUR lub 7 % globalnego obrotu – za naruszenie zakazów, które obowiązują już od 2 lutego 2025 r.

Ten artykuł jest dla Ciebie, jeśli prowadzisz sklep internetowy, agencję digitalową albo w jakikolwiek sposób wykorzystujesz AI w sprzedaży lub marketingu. Rozkładam na czynniki pierwsze, czego pod AI Act absolutnie robić nie wolno (systemy zakazane) i co wolno robić, ale tylko pod ścisłym nadzorem (systemy wysokiego ryzyka). Zamiast abstrakcyjnych rozważań – realne case’y z FTC, UODO i sądów, które pokazują, że te ryzyka nie są teoretyczne.

Czym jest system AI w rozumieniu AI Act?

Zanim wejdziemy w szczegóły zakazów, warto ustalić jedną rzecz: definicja systemu AI w rozporządzeniu jest bardzo szeroka. Art. 3 ust. 1 AI Act obejmuje każdy system maszynowy, który działa z jakimkolwiek poziomem autonomii, może wykazywać zdolność adaptacji i wnioskuje z danych wejściowych, generując wyniki – predykcje, treści, zalecenia lub decyzje – mogące wpływać na środowisko fizyczne lub wirtualne.

Co to oznacza konkretnie dla Twojego biznesu? Chatbot na stronie sklepu, system rekomendacji produktów, narzędzie do scoringu klientów, AI piszące opisy produktów, wtyczka do automatyzacji targetowania reklam – to wszystko może spełniać definicję systemu AI.

I tu dochodzimy do kwestii, która jest chyba najczęściej niedoceniana: nie chodzi o to, do czego dane narzędzie zostało stworzone. Chodzi o to, jak z niego korzystasz. Nawet zwykły ChatGPT, któremu każesz ocenić CV kandydatów na stanowisko w Twojej firmie, staje się w tym momencie systemem AI stosowanym w rekrutacji – a to już kategoria wysokiego ryzyka.

Cztery poziomy ryzyka – piramida, od której zależy wszystko

AI Act klasyfikuje systemy sztucznej inteligencji w oparciu o analizę ryzyka. Im wyżej na piramidzie, tym surowsze konsekwencje:

Na szczycie piramidy – praktyki absolutnie zakazane (art. 5 AI Act). Poniżej – systemy wysokiego ryzyka, z których można korzystać, ale wyłącznie przy spełnieniu rygorystycznych wymogów. Dalej – systemy ograniczonego ryzyka (chatboty, treści generowane przez AI), gdzie wystarczy przejrzystość i oznaczanie. Na dole – systemy minimalnego ryzyka, dla których AI Act nie przewiduje dodatkowych obowiązków.

Jeśli prowadzisz e-commerce lub agencję digital, to najczęściej będziesz miał do czynienia z trzema górnymi poziomami. I właśnie o nich mowa poniżej.

Systemy zakazane – absolutne „nie”, bez wyjątków

Przepisy o zakazach (art. 5 AI Act) obowiązują od 2 lutego 2025 r. Nie „będą obowiązywać” – obowiązują teraz. Sankcja za naruszenie? Do 35 mln EUR albo 7 % globalnego rocznego obrotu – stosuje się kwotę wyższą. Poniżej omawiam zakazy, które najbardziej dotykają e-commerce i digital marketing.

Techniki podprogowe, manipulacyjne lub wprowadzające w błąd

AI Act zakazuje systemów wykorzystujących techniki podprogowe (działające poza świadomą percepcją), celowe techniki manipulacyjne lub wprowadzające w błąd, jeżeli prowadzą do istotnego zniekształcenia zachowania osoby i wyrządzenia jej poważnej szkody. Innymi słowy: AI, które sprawia, że podejmujesz decyzję, której w normalnych okolicznościach byś nie podjął.

Case: Amazon Prime. FTC zarzuciła Amazonowi stosowanie manipulacyjnych interfejsów przy zapisie do Prime. Użytkownicy byli zapisywani bez w pełni świadomej zgody, a proces rezygnacji wymagał nawet siedmiu kliknięć i przejścia przez szereg ekranów z komunikatami typu „czy na pewno chcesz stracić te korzyści?”. To był case o dark patterns, nie o AI. Ale gdyby ten sam mechanizm był napędzany przez system AI – np. algorytm dynamicznie dobierający ścieżkę rezygnacji w zależności od profilu psychologicznego użytkownika – mielibyśmy zakazaną praktykę w rozumieniu art. 5 ust. 1 lit. a AI Act.

Co to znaczy dla Ciebie? Jeśli Twój chatbot sprzedażowy generuje komunikaty wywołujące fałszywą presję czasową („zostało tylko 2 sztuki!”, gdy to nieprawda), manipuluje procesem rezygnacji z subskrypcji, albo wykorzystuje AI do optymalizacji ścieżek zakupowych, które celowo utrudniają konsumentowi świadomą decyzję – to od lutego 2025 r. nie jest już wyłącznie kwestia prawa konsumenckiego. To potencjalnie zakazana praktyka AI.

Jeszcze jeden przykład, bliższy codzienności: system e-mail marketingowy oparty na AI, który analizuje wzorce behawioralne subskrybenta i celowo wysyła wiadomość z ofertą „ostatniej szansy” w momencie, gdy algorytm wykrywa, że użytkownik jest w stanie zmęczenia lub stresu (na podstawie godziny, tempa scrollowania, historii kliknięć). Jeśli celem jest skłonienie do zakupu, którego w normalnych warunkach by nie dokonał – jesteśmy niebezpiecznie blisko zakazu.

Wykorzystywanie słabości ze względu na wiek, niepełnosprawność lub sytuację ekonomiczną

Art. 5 ust. 1 lit. b AI Act zabrania systemów, które celują w podatności konkretnych grup: dzieci, osób starszych, osób z niepełnosprawnościami, osób w trudnej sytuacji finansowej.

Case: Epic Games / Fortnite. FTC nałożyła na Epic 245 mln USD kary za dark patterns prowadzące do niezamierzonych zakupów przez dzieci. Interfejs był zaprojektowany tak, że dzieci mogły generować opłaty bez realnej kontroli rodziców. Gdyby taki mechanizm był napędzany przez AI – np. algorytm personalizujący interfejs zakupowy w zależności od profilu wiekowego gracza – mielibyśmy do czynienia z systemem zakazanym pod AI Act.

Scenariusz z e-commerce: sklep online, którego AI identyfikuje użytkowników o niskim statusie ekonomicznym (na podstawie urządzenia, lokalizacji, historii przeglądania) i wyświetla im agresywniejsze oferty BNPL z mniej widocznym ostrzeżeniem o kosztach. Albo platforma, której algorytm targetuje reklamy szybkich pożyczek do osób aktualnie szukających informacji o problemach finansowych. To scenariusze, które wprost wchodzą w zakres zakazu.

Social scoring osób fizycznych

AI Act zakazuje systemów oceniających lub klasyfikujących osoby przez dłuższy czas na podstawie zachowań społecznych lub cech osobistych, jeżeli prowadzi to do krzywdzącego lub nieproporcjonalnego traktowania. Zakaz obejmuje zarówno podmioty publiczne, jak i prywatne – co jest kluczowe dla e-commerce.

Case: Sesame Credit (Alibaba). Prywatny system trust-rating powiązany z platformami płatniczymi i konsumenckimi. Ocena „wiarygodności” osób na podstawie ich zachowań – im gorszy wynik, tym gorsze warunki dostępu do usług. Nie jest to dokładnie ten sam mechanizm, który zakazuje AI Act, ale doskonale ilustruje ryzyko, które rozporządzenie adresuje.

Dla Twojego sklepu: jeśli budujesz system AI, który na podstawie historii reklamacji, częstotliwości zwrotów, aktywności w social mediach i opinii przyznaje klientom „poziomy wiarygodności” decydujące o dostępie do promocji, warunkach płatności lub jakości obsługi – to jest social scoring w rozumieniu AI Act. Szczególnie gdy dane używane do oceny nie mają związku z kontekstem podejmowanej decyzji (np. posty na Facebooku do oceny zdolności kredytowej).

Rozpoznawanie emocji w miejscu pracy

Case: HireVue. Dostawca narzędzi rekrutacyjnych opartych na AI, który analizował nagrania wideo kandydatów – w tym mimikę i mowę ciała – żeby wyciągać wnioski o ich dopasowaniu do stanowiska. Po interwencji FTC firma wycofała się z rozpoznawania twarzy. Pod AI Act to jednoznacznie zakazana praktyka (art. 5 ust. 1 lit. f): systemy wyciągające wnioski o emocjach w miejscu pracy są zakazane, z wyjątkiem zastosowań medycznych i bezpieczeństwa.

Dotyczy to też: monitoringu emocji pracowników call center, analizy „zaangażowania” uczestników szkoleń na podstawie kamery, a nawet narzędzi do analizy sentymentu w rozmowach z klientami, jeśli interpretują ton głosu i tempo mowy pracownika w kontekście oceny jego pracy.

Systemy wysokiego ryzyka – wolno, ale pod ścisłym nadzorem

Systemy wysokiego ryzyka nie są zakazane. Ale ich stosowanie od 2 sierpnia 2026 r. wymaga spełnienia konkretnych obowiązków: zarządzania ryzykiem, jakości danych treningowych, dokumentacji technicznej, przejrzystości, rejestrowania logów, a przede wszystkim – realnego nadzoru człowieka. Dla e-commerce i digital marketingu kluczowe są trzy kategorie.

Rekrutacja i selekcja kandydatów z użyciem AI

Case: Amazon – seksistowskie narzędzie rekrutacyjne. Amazon rozwijał system AI do wstępnej selekcji CV. System uczył się na historycznych danych rekrutacyjnych, które odzwierciedlały wieloletnią dominację mężczyzn w firmie. Efekt? Algorytm systematycznie obniżał ocenę kobiet. Wysoko wykwalifikowana kandydatka z nietypowym doświadczeniem była odrzucana wyłącznie dlatego, że nie pasowała do wzorca wyuczonego na błędnych danych. Amazon ostatecznie porzucił projekt.

Pod AI Act każdy system AI stosowany w rekrutacji to system wysokiego ryzyka (Załącznik III). Oznacza to pakiet obowiązków: zarządzanie ryzykiem biasu, zapewnienie jakości danych, dokumentacja techniczna, prawo osoby do wyjaśnienia decyzji i – co najważniejsze – realny human oversight, czyli nadzór człowieka. Dotyczy to nie tylko korporacji, ale każdej firmy e-commerce, która korzysta z AI do filtrowania CV, rankingowania kandydatów czy automatycznych rozmów kwalifikacyjnych. Co istotne, jeśli nawet nie korzystasz ze specjalistycznego narzędzia w “wrzucisz” CV do “zwykłego ChataGPT” prosząc go o preselekcje to nie dość, że ChatGPT stanie się nagle systemem wysokiego ryzyka to jeszcze Ty wejdziesz w rolę sostawy systemu AI.

AI decydujące o warunkach pracy i zakończeniu współpracy

Case: Uber Eats / Pa Edrissa Manjang. Kurier został zablokowany na platformie po nieudanej weryfikacji tożsamości przez AI-powered facial recognition. System miał problemy z prawidłową identyfikacją osób o ciemniejszej karnacji. Zarzuty dotyczyły dyskryminacji rasowej. Sprawa zakończyła się ugodą, ale miała daleko idące konsekwencje – w powiązanej sprawie Uber/Ola sąd uznał, że nadzór człowieka nad decyzjami AI był jedynie symboliczny.

I tu dochodzimy do jednej z najważniejszych zasad AI Act: human oversight musi być realny. Osoba nadzorująca system AI wysokiego ryzyka musi mieć faktyczną możliwość monitorowania, interpretowania, odrzucenia, nadpisania lub zatrzymania systemu. Nie wystarczy, że ktoś na końcu procesu formalnie klika „zatwierdź”. Human oversight – tak. Human decoration – nie.

Dotyczy to każdej firmy, która używa AI do przydzielania zmian, oceny wydajności, monitorowania produktywności zespołu czy podejmowania decyzji o zakończeniu współpracy z kontrahentem lub pracownikiem.

AI-scoring kredytowy i systemy BNPL

Systemy AI do oceny zdolności kredytowej osób fizycznych są wprost wymienione w Załączniku III AI Act jako kategoria wysokiego ryzyka. Motyw 58 rozporządzenia uzasadnia to wagą dostępu do kredytu dla życia ludzi – błędna decyzja algorytmu może pozbawić kogoś możliwości wynajmu mieszkania, uzyskania telefonu na abonament czy zakupu samochodu.

Dla e-commerce: jeśli w Twoim sklepie działa system „kup teraz, zapłać później” wykorzystujący AI do oceny zdolności kredytowej klienta w procesie zakupowym – to high-risk AI. Dotyczy to nie tylko banków i fintechów, ale każdego podmiotu wdrażającego takie rozwiązanie. Jedyny wyjątek: systemy AI do wykrywania oszustw finansowych – te nie są klasyfikowane jako wysokiego ryzyka.

Liczy się sposób użycia, nie nazwa narzędzia

To zasada, która umyka wielu przedsiębiorcom: AI Act nie reguluje narzędzi – reguluje zastosowania. Nie ma znaczenia, że korzystasz z ogólnodostępnego ChatGPT, Claude’a, Gemini czy dowolnego innego LLM. Jeśli sposób, w jaki go używasz, wpisuje się w kategorię praktyk zakazanych lub wysokiego ryzyka, to Ty jako „podmiot stosujący” ponosisz odpowiedzialność.

Prosty test: wrzucasz do ChatGPT dwa CV z poleceniem „oceń, którego kandydata wybrać na stanowisko młodszego prawnika”. W tym momencie nie używasz chatbota. Stosujesz system AI do selekcji kandydatów – zastosowanie wysokiego ryzyka w rozumieniu AI Act. I obowiązki wynikające z rozporządzenia spadają na Ciebie.

Kary – ile to kosztuje i od kiedy

Trzy progi kar administracyjnych z AI Act: 35 mln EUR / 7 % obrotu za naruszenie zakazów, 15 mln EUR / 3 % obrotu za naruszenie obowiązków dotyczących systemów high-risk, 7,5 mln EUR / 1 % obrotu za podanie nieprawdziwych informacji organom nadzoru. Zawsze stosuje się kwotę wyższą.

Ale to nie koniec złych wiadomości. Kumulacja reżimów sprawia, że ten sam produkt AI może jednocześnie uruchomić postępowanie ze strony UOKiK (dark patterns, nieuczciwe praktyki handlowe), UODO (bezprawne przetwarzanie danych, profilowanie), organu nadzoru AI Act, UKE (cookies, prawo telekomunikacyjne) – a do tego powództwo cywilne za naruszenie praw autorskich lub znaków towarowych. Cztery organy, trzy kary – jednocześnie za ten sam produkt.

Co zrobić teraz? Pięć kroków na początek

Nie musisz od razu zatrudniać AI compliance officera (choć na dłuższą metę to dobry pomysł). Na początek wystarczy pięć kroków:

Po pierwsze – zinwentaryzuj wszystkie systemy AI w firmie. Nie tylko „duże” wdrożenia, ale też wtyczki, chatboty, narzędzia do automatyzacji marketingu, systemy rekomendacji, integracje z API modeli językowych.

Po drugie – dla każdego systemu odpowiedz na pytanie: czy podejmuje lub wspiera decyzje dotyczące osób fizycznych w sposób, który może wyrządzić im szkodę? Czy wykorzystuje dane osobowe? Czy wpływa na dostęp do usług, kredytu, zatrudnienia?

Po trzecie – sprawdź, czy którykolwiek z Twoich systemów nie wchodzi w zakres praktyk zakazanych. Zakazy obowiązują już od 2 lutego 2025 r. – to nie jest deadline na przyszłość.

Po czwarte – dla systemów potencjalnie klasyfikowanych jako high-risk zacznij budować dokumentację i procedury nadzoru. Obowiązki wchodzą w życie 2 sierpnia 2026 r. – zostało mniej niż pięć miesięcy.

Po piąte – zaktualizuj umowy z dostawcami technologii AI i agencjami. Klauzula ujawnienia AI, opis wkładu człowieka, gwarancja zgodności, prawo audytu procesu twórczego i plan B na wypadek, gdyby materiał nie stanowił utworu w rozumieniu prawa autorskiego.

Podsumowanie

AI Act nie jest abstrakcyjnym dokumentem z Brukseli. To przepisy, które już teraz zakazują konkretnych praktyk, a za pięć miesięcy nałożą konkretne obowiązki na podmioty stosujące systemy AI wysokiego ryzyka. Dla branży e-commerce i digital marketingu – gdzie AI jest wszędzie – ignorowanie tych przepisów to nie kwestia compliance philosophy. To kwestia realnego ryzyka finansowego, reputacyjnego i operacyjnego.

AI daje ogromną przewagę konkurencyjną. Ale tylko wtedy, gdy wiesz, po której stronie prawa stoisz. A ta strona wymaga, żebyś wiedział, co masz, rozumiał, jak tego używasz i potrafił to udokumentować.