Unia Europejska uchwaliła AI Act w maju 2024 roku — pierwsze kompleksowe prawo regulujące sztuczną inteligencję na świecie. Weszło w życie w sierpniu 2024. Stosowane stopniowo: zakazy od lutego 2025, systemy wysokiego ryzyka od sierpnia 2026, reszta do 2027.
AI Act był pisany z myślą o systemach AI jako oprogramowaniu — narzędziach. Agenty AI są czymś więcej: autonomicznymi podmiotami działającymi w imieniu ludzi przez dłuższy czas, podejmującymi decyzje i wykonującymi akcje bez ciągłego nadzoru.
Czy AI Act nadąża? Częściowo.
Czym jest AI Act dla agentów
AI Act dla agentów to zbiór wymagań unijnego rozporządzenia o sztucznej inteligencji (EU 2024/1689) stosowanych do systemów agentowych — klasyfikujący agenty według poziomu ryzyka (od minimalnego do niedopuszczalnego), nakładający obowiązki dokumentacji, transparentności i nadzoru ludzkiego dla systemów wysokiego ryzyka, z interpretacjami dotyczącymi specyfiki autonomicznych agentów które dopiero się kształtują.
Klasyfikacja ryzyka — jak agenty wpadają w kategorie
Niedopuszczalne ryzyko (zakazane od lutego 2025): systemy AI które manipulują zachowaniem przez techniki podprogowe, eksploatują słabości grup wrażliwych, realizują social scoring przez rządy, rozpoznają emocje w miejscu pracy bez uzasadnienia. Agenty które to robią są zakazane.
Wysokie ryzyko (rygorystyczne wymagania od sierpnia 2026): systemy używane w rekrutacji i zarządzaniu pracownikami, ocenie kwalifikacji edukacyjnych, dostępie do usług finansowych, ocenie ryzyka kredytowego, diagnostyce medycznej, decyzjach sądowych. Agent który pomaga w rekrutacji, ocenia zdolność kredytową lub sugeruje diagnozę — wysokie ryzyko.
Ograniczone ryzyko (obowiązki transparentności): chatboty muszą informować użytkownika że rozmawiają z AI, treści generowane przez AI muszą być oznaczone. Większość agentów B2C wpadnie w tę kategorię.
Minimalne ryzyko: gry, filtrowanie spamu. Brak specyficznych wymagań.
Wymagania dla agentów wysokiego ryzyka
Dokumentacja techniczna: opis systemu, jego możliwości i ograniczeń, dane treningowe (jeśli model był fine-tunowany), procedury testowania.
Rejestracja w EU AI Database: od marca 2026 systemy wysokiego ryzyka muszą być zarejestrowane.
System zarządzania ryzykiem: ciągły proces identyfikacji, oceny i mitygacji ryzyk.
Human oversight: musi być możliwy nadzór i interwencja człowieka. Agent który działa w pełni autonomicznie bez możliwości zatrzymania przez człowieka — niezgodny z AI Act dla systemów wysokiego ryzyka.
Transparentność: użytkownik musi wiedzieć że interaguje z systemem AI.
Luki i interpretacje dla agentów
AI Act nie definiuje explicite „agenta AI” — to jest termin branżowy, nie prawny. Interpretacja jak przepisy stosują się do autonomicznych, wielokrokowych agentów jest aktywnie dyskutowana przez regulatorów i prawników.
GPAI (General Purpose AI) model provisions w AI Act dotyczą dużych modeli (jak GPT, Claude) — ale nie bezpośrednio agentów zbudowanych na tych modelach. Kto jest odpowiedzialny: provider modelu (Anthropic, OpenAI) czy operator systemu agentowego (firma która go wdrożyła)? Oba podmioty mają swoje obowiązki — ale granica odpowiedzialności jest rozmyta.