To mapa regulacji, nie porada prawna. Opisujemy konstrukcję klasyfikacji z tekstu rozporządzenia. Do którego poziomu należy konkretny system w konkretnym użyciu — rozstrzyga analiza prawna, nie mapa. Data ostatniej weryfikacji treści: lipiec 2026.
AI Act nie reguluje sztucznej inteligencji jako technologii — reguluje jej zastosowania, według czteropoziomowej piramidy ryzyka: praktyki zakazane (niedopuszczalne w UE w ogóle), systemy wysokiego ryzyka (dopuszczalne pod rozbudowanymi obowiązkami), systemy objęte obowiązkami przejrzystości (dopuszczalne pod warunkiem informowania) oraz ryzyko minimalne (bez dodatkowych obowiązków z AI Act). Ten sam model AI może lądować na różnych poziomach zależnie od tego, do czego jest używany — i to jest najważniejsze zdanie tej strony.
To druga gałąź huba AI Act i rama dla wszystkich pozostałych: kalendarz mówi kiedy, piramida mówi co i dla kogo. Bez niej łatwo o dwa lustrzane błędy — wciskanie własnego chatbota w obowiązki systemów rekrutacyjnych albo machnięcie ręką na przepis, który akurat nas dotyczy.
Zasada konstrukcyjna: liczy się zastosowanie, nie technologia
Zanim poziomy — fundament, od którego zależy zrozumienie całości. AI Act pyta nie „czy używasz AI”, tylko „do czegojej używasz i jaki wpływ na ludzi ma to użycie”. Ten sam duży model językowy może być silnikiem czterech różnych bytów regulacyjnych: narzędzia do streszczania notatek (minimalne), chatbota na stronie (przejrzystość), systemu filtrującego CV (wysokie ryzyko) i — teoretycznie — systemu manipulacji behawioralnej (zakazane). Technologia identyczna, poziomy różne.
Praktyczna konsekwencja dla firm: pytanie „czy nasze AI podlega AI Act” jest źle postawione. Dobrze postawione brzmi: „które z naszych zastosowań AI lądują na których poziomach” — i to jest inwentarz, a nie pojedyncza odpowiedź.
Poziom 1: praktyki zakazane — czerwona strefa
Szczyt piramidy: zastosowania, których w UE nie wolno wprowadzać ani stosować w ogóle — obowiązuje od lutego 2025. Katalog obejmuje m.in. szkodliwą manipulację i wykorzystywanie słabości, scoring społeczny przez władze, nieukierunkowane pozyskiwanie wizerunków z internetu do baz rozpoznawania twarzy, rozpoznawanie emocji w pracy i edukacji (z wyjątkami), a od grudnia 2026 — jak odnotowaliśmy w kalendarzu — także systemy do tworzenia intymnych wizerunków bez zgody i materiałów krzywdzenia dzieci.
Dla typowej firmy z sektora MŚP ten poziom jest głównie wiedzą kontekstową — normalna działalność nie ociera się o niego. Z jednym praktycznym zastrzeżeniem, które mapa może uczciwie postawić: granice bywają bliżej marketingu, niż się wydaje. „Personalizacja wykorzystująca słabości konkretnych grup” to fraza, którą agresywne praktyki targetowania powinny znać — nie jako diagnozę (to rola prawnika), lecz jako powód, żeby przy pomysłach z pogranicza zapalać żółte światło wcześnie.
Poziom 2: wysokie ryzyko — strefa ciężkich obowiązków (i przesuniętego terminu)
Systemy dopuszczalne, ale pod pełnym reżimem: zarządzanie ryzykiem, jakość danych, dokumentacja techniczna, nadzór człowieka, ocena zgodności, rejestracja. To ten poziom Digital Omnibus przesunął na grudzień 2027 (Załącznik III) i sierpień 2028 (Załącznik I) — przypominamy, bo nagłówki „AI Act przesunięty” dotyczyły wyłącznie tego piętra.
Załącznik III wymienia osiem obszarów; z perspektywy zwykłych firm najczęściej dotykane są trzy: zatrudnienie (AI w rekrutacji, selekcji CV, ocenie i monitorowaniu pracowników, decyzjach o awansach), dostęp do usług (scoring kredytowy, ocena ryzyka w ubezpieczeniach) i edukacja. Uwaga konstrukcyjna, którą warto zanotować: na ten poziom można trafić, nie budując niczego — firma używająca kupionego narzędzia HR z funkcją AI-oceny kandydatów jest w grze jako podmiot stosujący. Czy konkretne narzędzie w konkretnym użyciu kwalifikuje się jako wysokie ryzyko — to dokładnie ta ocena, którą robi się z prawnikiem, z inwentarzem zastosowań w ręku; osobna gałąź huba o podmiocie stosującym rozwinie, co z tej roli wynika.
Poziom 3: obowiązki przejrzystości — strefa „powiedz, że jesteś AI”
Poziom, na którym ląduje najwięcej czytelników tego huba — i któremu poświęciliśmy osobną, szczegółową gałąź, bo jego termin (2 sierpnia 2026) nie został przesunięty. W skrócie mapowym: systemy wchodzące w interakcję z ludźmi (chatboty, voiceboty, agenci) — informowanie użytkownika; treści generowane i deepfake — oznaczanie; systemy rozpoznawania emocji i kategoryzacji biometrycznej — informowanie osób. Obowiązki są nieporównanie lżejsze niż piętro wyżej — to warunki uczciwej gry, nie reżim certyfikacji — ale są, mają datę i dotyczą masowo.
Poziom 4: ryzyko minimalne — cała reszta
Podstawa piramidy i statystyczna większość zastosowań: AI wspierające pracę bez istotnego wpływu na prawa i bezpieczeństwo ludzi — asystenci pisania, streszczanie, analityka wewnętrzna, filtry spamu, autouzupełnianie, rekomendacje treści w większości wdrożeń. AI Act nie nakłada tu dodatkowych obowiązków; zachęca do dobrowolnych kodeksów.
Dwa zastrzeżenia, żeby podstawa piramidy nie stała się poduszką do spania. Pierwsze: „minimalne w AI Act” nie znaczy „wolne od prawa” — RODO, prawo konsumenckie i autorskie działają niezależnie od piętra (o sąsiednich terytoriach — ostatnia gałąź huba). Drugie: przypisanie do poziomu nie jest dożywotnie. Zmienia się użycie — zmienia się piętro: wewnętrzny asystent notatek, któremu ktoś dołoży moduł oceny pracowników, właśnie wjechał windą dwa poziomy wyżej. Stąd inwentarz zastosowań ma sens jako proces okresowy, nie jednorazowe odhaczenie — dokładnie tak, jak przeglądy w cyklu życia agentów, tylko z dodatkową kolumną.
Gdzie zwykle ląduje AI typowej firmy — obraz statystyczny, nie diagnoza
Składając piramidę z praktyką firm, które obserwujemy: większość zastosowań typowej firmy usługowej czy handlowej siedzi na poziomie minimalnym; niemal każda firma z chatbotem, voicebotem lub agentem ma co najmniej jedno zastosowanie na poziomie przejrzystości — z terminem 2 sierpnia; mniejszość — ale większa, niż sama sądzi — dotyka wysokiego ryzyka, najczęściej nieświadomie, przez kupione narzędzia HR lub scoringowe; poziom zakazany pozostaje dla normalnego biznesu ciekawostką z żółtym światłem przy agresywnym targetowaniu.
To obraz statystyczny — mapa terenu, nie diagnoza Twojej firmy. Diagnoza wymaga inwentarza (które zastosowania mamy) i oceny (na którym piętrze każde z nich stoi) — pierwsze możesz zrobić sam i to jest najlepsze przygotowanie do drugiego, które robi się z prawnikiem.
Powtórka obiecana we wstępie huba: nic powyżej nie jest poradą prawną. Piramida to konstrukcja z tekstu rozporządzenia; przypisanie konkretnego systemu w konkretnym użyciu do poziomu — to analiza prawna. Idź na nią z inwentarzem zastosowań: rozmowa będzie krótsza, tańsza i o Twojej firmie, a nie o AI Act w ogólności.










