W czerwcu 2025 roku Anthropic opublikował oficjalne stanowisko dotyczące bezpieczeństwa AI skierowane do amerykańskiego Departamentu Obrony. Dokument porusza tematy, które wykraczają daleko poza kontekst militarny - mowa o standardach bezpieczeństwa, przejrzystości algorytmów i odpowiedzialności firm wdrażających sztuczną inteligencję. Dla polskich przedsiębiorców to sygnał, którego nie warto ignorować.
Dlaczego? Bo regulacje AI nie dotyczą wyłącznie BigTechów z Doliny Krzemowej. AI Act, który wszedł w życie w Unii Europejskiej, nakłada obowiązki na każdą firmę korzystającą z systemów AI - niezależnie od jej wielkości. Firma zatrudniająca 15 osób, która używa ChatGPT do obsługi klientów, podlega tym samym przepisom co korporacja z tysiącem pracowników.
Problemem nie jest samo prawo. Problemem jest to, że większość polskich firm nie wie, jakie systemy AI już u siebie ma, jak je klasyfikować i co dokładnie musi dokumentować. A czasu na przygotowanie jest coraz mniej.
Co właściwie regulują nowe przepisy
AI Act dzieli systemy sztucznej inteligencji na cztery kategorie ryzyka: minimalne, ograniczone, wysokie i niedopuszczalne. Większość narzędzi, z których korzystają polskie MŚP - chatboty, generatory treści, systemy rekomendacji - trafia do kategorii minimalnego lub ograniczonego ryzyka. To dobra wiadomość, bo wymogi są tu stosunkowo łagodne.
Ale jest haczyk. Jeśli firma używa AI do podejmowania decyzji kadrowych (np. filtrowanie CV), oceny zdolności kredytowej klientów lub automatycznej moderacji treści - system automatycznie wskakuje do kategorii wysokiego ryzyka. A tu wymagania rosną skokowo:
- Dokumentacja techniczna - opis działania modelu, danych treningowych i metod testowania
- Ocena ryzyka - analiza potencjalnych szkód i plan ich minimalizacji
- Nadzór ludzki - procedury pozwalające człowiekowi wstrzymać lub skorygować decyzję AI
- Przejrzystość - informowanie użytkowników, że mają do czynienia z AI
- Logowanie zdarzeń - rejestr działań systemu przez minimum 6 miesięcy
Według raportu PARP z 2025 roku, około 34% polskich MŚP korzysta z co najmniej jednego narzędzia opartego na AI. Większość z nich nie prowadzi żadnej dokumentacji dotyczącej tych systemów.
Trzy błędy, które popełniają polskie firmy
Pracując z firmami nad wdrożeniami AI, widzę powtarzające się wzorce. Pierwszy i najczęstszy: "To tylko ChatGPT, nas to nie dotyczy". Dotyczy. Jeśli firma integruje API OpenAI z własnym systemem CRM i na tej podstawie kategoryzuje zapytania klientów, to jest dostawcą systemu AI w rozumieniu przepisów. Nie ma znaczenia, że model stworzył ktoś inny.
Drugi błąd: brak inwentaryzacji. Pytam właścicieli firm "ile systemów AI używacie?" i słyszę "jeden, ChatGPT". Potem okazuje się, że księgowość korzysta z OCR do skanowania faktur, marketing używa narzędzi do generowania grafik, a dział HR testuje screening CV. To trzy dodatkowe systemy AI, o których nikt nie pomyślał.
Trzeci błąd: odkładanie tematu na później. Przepisy przejściowe AI Act kończą się w sierpniu 2026 roku dla systemów wysokiego ryzyka. Brzmi jak dużo czasu, ale przygotowanie dokumentacji, wdrożenie procedur nadzoru i przeszkolenie zespołu - to zadanie na minimum 3-6 miesięcy. Firma, która zacznie w maju 2026, nie zdąży.
Praktyczny plan działania dla MŚP
Zamiast panikować, warto podejść do tematu systematycznie. Oto cztery kroki, które można wykonać w ciągu najbliższych 30 dni bez zewnętrznych konsultantów i dużych budżetów:
Krok 1: Inwentaryzacja (1 dzień). Zrób listę wszystkich narzędzi w firmie, które używają AI. Nie chodzi tylko o chatboty - sprawdź systemy księgowe, CRM, narzędzia marketingowe, filtry antyspamowe. Zapisz nazwę narzędzia, dostawcę, do czego służy i kto z niego korzysta. Prosty arkusz kalkulacyjny wystarczy.
Krok 2: Klasyfikacja ryzyka (1 dzień). Dla każdego narzędzia z listy odpowiedz na pytanie: czy ten system podejmuje lub wspiera decyzje dotyczące ludzi? Jeśli tak - prawdopodobnie to kategoria wysokiego ryzyka. Jeśli nie - masz mniej obowiązków, ale nadal musisz informować użytkowników o kontakcie z AI.
Krok 3: Dokumentacja bazowa (1-2 tygodnie). Dla każdego systemu AI spisz: jakie dane wchodzą, co system robi, jakie dane wychodzą, kto ma dostęp do wyników, co się dzieje gdy system się pomyli. To nie musi być 50-stronicowy raport. Dwa akapity na system na początek wystarczą.
Krok 4: Procedura "czerwonego przycisku" (1 dzień). Ustal, kto w firmie może wstrzymać działanie systemu AI, gdy coś pójdzie nie tak. Zapisz tę procedurę i upewnij się, że odpowiednia osoba wie, jak to zrobić. W firmie 10-osobowej to może być po prostu właściciel z dostępem administratora do wszystkich narzędzi.
Co oznacza stanowisko Anthropic dla rynku
Stanowisko Anthropic z czerwca 2025 jest istotne z jednego powodu: jeden z największych producentów modeli AI otwarcie mówi, że branża potrzebuje regulacji. To nie jest głos aktywistów ani polityków - to firma, która zarabia na sprzedaży AI, i która twierdzi, że bez jasnych zasad bezpieczeństwa rynek się nie rozwinie.
Dla polskich firm oznacza to dwie rzeczy. Po pierwsze, regulacje nie znikną - wręcz przeciwnie, będą się zaostrzać. Po drugie, dostawcy AI (OpenAI, Anthropic, Google) będą coraz bardziej ułatwiać zgodność z przepisami, bo to w ich interesie. Już teraz Claude oferuje audit logi, a OpenAI udostępnia narzędzia do monitorowania użycia API.
Firmy, które dziś zbudują nawyk dokumentowania i nadzorowania swoich systemów AI, będą za rok w znacznie lepszej pozycji niż te, które zaczną dopiero po pierwszej kontroli. Koszt przygotowania teraz to kilka dni pracy. Koszt po kontroli - kary, audyty i utrata zaufania klientów.
Bezpieczeństwo AI nie jest tematem dla działów prawnych dużych korporacji. To temat operacyjny dla każdego, kto klika "wyślij" w oknie chatbota podłączonego do danych firmowych. Im szybciej polskie MŚP to zrozumieją, tym mniej bolesna będzie adaptacja.
Źródło: Anthropic - Statement on AI Safety to the Secretary of War