Wpływ AI Act na biura rachunkowe – obowiązki, ryzyka i szanse

Lead: Unijne rozporządzenie AI Act to pierwsza na świecie kompleksowa regulacja dotycząca sztucznej inteligencji – bywa nazywane wręcz „konstytucją AI”. Dla biur rachunkowych, coraz śmielej korzystających z AI (od OCR po chatboty), oznacza to nowe obowiązki w zakresie zgodności z prawem oraz zmianę podejścia do automatyzacji. W artykule wyjaśniamy, czym jest AI Act, kiedy zacznie obowiązywać i dlaczego księgowi powinni się nim zainteresować. Przedstawiamy poziomy ryzyka AI według regulacji, analizujemy konkretne narzędzia (Saldeo, Comarch OCR, Xero, ChatGPT i inne) pod kątem wysokiego ryzyka, omawiamy obowiązki użytkowników tych rozwiązań, a także ryzyka związane z automatycznymi rekomendacjami podatkowymi. Wskazujemy przykłady naruszeń i sankcji (porównując AI Act do RODO) oraz podpowiadamy, jak wdrażać AI zgodnie z nowymi przepisami, aby zdobyć przewagę konkurencyjną – również w kontekście współpracy międzynarodowej (USA, UK, Turcja) i zgodności z AI Act.

Czym jest AI Act i dlaczego dotyczy biur rachunkowych?

AI Act (Artificial Intelligence Act) to unijne rozporządzenie ustanawiające przepisy dla systemów sztucznej inteligencji w całej UE. Jego celem jest zapewnienie, że AI będzie rozwijana i wykorzystywana w sposób bezpieczny, etyczny i godny zaufania. Akt ten ma chronić zdrowie, bezpieczeństwo i prawa podstawowe obywateli przed szkodliwymi skutkami AI, jednocześnie wspierając innowacje na jednolitym rynku. AI Act jest kluczowy dla wszystkich podmiotów używających AI w działalności – podobnie jak RODO wpłynęło na wszystkie firmy przetwarzające dane osobowe. Biura rachunkowe coraz częściej sięgają po narzędzia AI (np. skanowanie faktur, automatyzacja księgowa, asystenci czatowi), więc nowe regulacje bezpośrednio ich dotyczą.

Kiedy wchodzi w życie? AI Act został opublikowany w Dzienniku UE 12 lipca 2024 r., wszedł w życie 1 sierpnia 2024 r., ale zasadniczo będzie stosowany od 2 sierpnia 2026 r.  Przepisy wdrażane są stopniowo – standardowo po 24 miesiącach od ogłoszenia, jednak część zaczyna obowiązywać wcześniej (po 6, 12 lub 36 miesiącach).  Pierwsze wymogi weszły w życie już 2 lutego 2025 r., obejmując zakaz stosowania szczególnie niebezpiecznych systemów AI (praktyk uznanych za niedopuszczalne) na terenie całej UE. Daje to firmom czas na dostosowanie – od pół roku do kilku lat, zależnie od rodzaju działalności AI – ale oznacza, że przygotowania trzeba zacząć już teraz. Biura rachunkowe powinny śledzić te terminy, aby nie zostać zaskoczonymi nowymi obowiązkami.

Dlaczego biura rachunkowe powinny się zainteresować? AI Act może znacząco wpłynąć na sposób, w jaki świadczą usługi księgowe. Wielu księgowych korzysta z AI do automatyzacji żmudnych zadań (np. odczytywanie faktur, kategoryzacja transakcji, czatboty dla klientów). Nowe prawo stawia granice – określa, jakie zastosowania AI są zakazane, które podlegają surowym wymogom, a które dozwolone bez większych obostrzeń. Ignorowanie tych zasad grozi poważnymi sankcjami (administracyjne kary finansowe do 35 mln euro lub 7% obrotu). Z drugiej strony, świadome wdrażanie AI zgodnie z regulacjami może stać się atutem – budować zaufanie klientów i przewagę konkurencyjną dzięki bezpiecznej innowacji. AI Act, podobnie jak wcześniej RODO, wymusza więc nowe podejście do technologii w biznesie: tym razem nie w kontekście danych osobowych, lecz inteligentnych algorytmów.

Klasyfikacja ryzyka AI według AI Act – od gier po systemy krytyczne

AI Act wprowadza podejście oparte na ryzyku, dzieląc systemy AI na cztery kategorie: niedopuszczalnego ryzyka, wysokiego ryzyka, ograniczonego ryzyka i minimalnego ryzyka. Od przypisanej kategorii zależą obowiązki i ograniczenia dotyczące danego systemu. Poniżej przedstawiamy te poziomy oraz przykłady zastosowań AI w księgowości dla każdej kategorii:

• AI niedopuszczalnego ryzyka – to systemy uznane za poważne zagrożenie dla życia, bezpieczeństwa lub praw ludzi, których użycie jest zakazane na mocy AI Act. Do tej kategorii zaliczają się praktyki takie jak manipulacja podprogowa, wykorzystywanie słabości osób (np. dzieci, seniorów) dla zysku, scoring społeczny obywateli (np. ocena „wiarygodności” obywatela na podstawie zachowań niezwiązanych ze sobą), czy pewne systemy predykcyjne (np. oceniające prawdopodobieństwo popełnienia przestępstwa).  Zakazana jest także zdalna biometryczna identyfikacja osób w przestrzeni publicznej przez policję (z wyjątkiem bardzo wąskich okoliczności) oraz rozpoznawanie emocji w miejscu pracy lub szkole. W praktyce biura rachunkowe raczej nie korzystają z takich systemów – to przykłady ekstremalne. Jednakże trzeba mieć świadomość, że pewnych zastosowań AI prawo całkowicie zabrania. Przykład: Gdyby biuro rachunkowe chciało korzystać z zewnętrznej bazy oceniającej „ryzyko klienta” w oparciu o jego aktywność w sieci (coś w rodzaju scoringu reputacyjnego), byłoby to niedozwolone. Na szczęście typowe narzędzia księgowe nie wchodzą w tę kategorię.

• AI wysokiego ryzyka – to systemy, które mogą istotnie zagrozić zdrowiu, bezpieczeństwu lub prawom osób, więc wymagają spełnienia rygorystycznych norm przed wprowadzeniem na rynek. Wysokie ryzyko mają m.in. AI będące elementami bezpieczeństwa produktów (np. system AI sterujący robotem chirurgicznym), ale także narzędzia używane do podejmowania ważnych decyzji o ludziach: w edukacji (np. system oceniania egzaminów decydujący o dostaniu się na studia), w zatrudnieniu (np. AI filtrujące CV kandydatów), w finansach (np. system oceny zdolności kredytowej decydujący o przyznaniu kredytu) czy w usługach publicznych. W tych obszarach błąd lub stronniczość AI mogą skutkować poważną krzywdą lub naruszeniem praw, dlatego prawo nakłada szereg obowiązków na dostawców i użytkowników takich systemów (od certyfikacji, przez dokumentację i kontrolę jakości danych, po nadzór człowieka).  Czy w księgowości występuje AI wysokiego ryzyka? Zasadniczo typowe narzędzia księgowe nie należą do tej grupy, bo nie podejmują samodzielnie decyzji o podobnej wadze. Jednak pewne zastosowania na styku księgowości i finansów mogą się tu zaliczyć. Przykład: Jeśli biuro rachunkowe korzysta z AI do oceny kandydatów do pracy w biurze – takie systemy podpadają pod wysokie ryzyko (kategoria zatrudnienie w Aneksie III AI Act. Innym przykładem mogłoby być wykorzystanie AI do monitorowania transakcji pod kątem prania pieniędzy – jeśli automatycznie decydowałaby o zgłoszeniu podejrzanych operacji, wpływając na prawa klienta, to również wymagałoby reżimu wysokiego ryzyka. W praktyce, gdy biuro kupuje system zaklasyfikowany jako high-risk (np. oprogramowanie do oceny kandydatów do pracy), dostawca musi zapewnić zgodność z AI Act (certyfikację CE, rejestrację systemu itp.), a samo biuro musi go używać zgodnie z instrukcjami, pod nadzorem człowieka i monitorować jego działanie – o czym więcej piszę w dalszej części.  

• AI ograniczonego ryzyka – to systemy, które stwarzają niewielkie ryzyko naruszenia praw czy bezpieczeństwa, dlatego objęto je tylko minimalnymi wymogami w zakresie przejrzystości. Chodzi głównie o AI, które wchodzą w interakcję z człowiekiem lub generują treści, tak że istnieje ryzyko wprowadzenia użytkownika w błąd. AI Act nakazuje w takich przypadkach ujawniać, że mamy do czynienia z maszyną. Przykłady: chatboty i wirtualni asystenci – użytkownik musi być poinformowany, że rozmawia z AI, a nie z człowiekiem. Podobnie generatory obrazów czy tekstu (tzw. AI generatywna) powinny oznaczać wygenerowane treści jako sztuczne, zwłaszcza jeśli są publikowane np. w mediach (aby odbiorcy nie brali ich za dzieło człowieka). W księgowości typowym systemem ograniczonego ryzyka będzie asystent rozmowy (chatbot) obsługujący klientów biura rachunkowego – np. odpowiadający na proste pytania podatkowe. AI Act nie zabrania takich rozwiązań, ale wymaga, by klient wiedział, że rozmawia z automatem, a nie doradcą z krwi i kości. Innym przykładem mogą być narzędzia generujące podsumowania raportów finansowych – jeśli biuro korzysta z AI do automatycznego tworzenia np. draftu raportu dla klienta, powinno zadbać o rzetelność takiej treści i ewentualnie informować, że została wygenerowana przez AI (zwłaszcza gdy raport trafia do szerszej publiczności). Ogólnie, obowiązki wobec AI o ograniczonym ryzyku sprowadzają się do transparentności, co w praktyce oznacza np. umieszczenie stosownej informacji w interfejsie („Ten chat jest obsługiwany przez algorytm AI”) oraz monitorowanie czy system nie wprowadza ludzi w błąd.

• AI minimalnego ryzyka – cała reszta systemów, które nie stwarzają istotnego ryzyka, więc nie podlegają dodatkowymi wymogom prawnym. Szacuje się, że większość obecnie używanych systemów AI w UE mieści się właśnie w tej kategorii. Należą tu m.in. codzienne narzędzia oparte na AI, takie jak filtry antyspamowe, rekomendacje produktów w e-commerce, czy choćby AI w grach wideo. Dla biur rachunkowych wiele stosowanych rozwiązań wpisuje się właśnie w minimalne ryzyko. Przykłady: Programy do OCR faktur (rozpoznawania tekstu ze skanów) – np. polskie systemy SaldeoSMART czy Comarch OCR – które automatyzują wprowadzanie dokumentów. One same w sobie nie naruszają praw osób (jedynie odczytują dane z papieru do elektronicznego formatu), więc nie są objęte specjalnymi restrykcjami AI Act. Podobnie moduły oprogramowania księgowego wykorzystujące uczenie maszynowe do automatycznego kategoryzowania transakcji czy wykrywania anomalii w zapisach – jeśli tylko służą wsparciu pracy księgowego, a ostateczna decyzja należy do człowieka, ryzyko jest minimalne. W tych przypadkach AI Act nie nakłada nowych obowiązków – oczywiście należy zachować zdrowy rozsądek, testować i kontrolować takie narzędzia (dla jakości danych), ale prawnie nie ma wymogu certyfikacji czy zgłaszania ich użycia. Można z nich korzystać swobodnie, czerpiąc korzyści z automatyzacji bez dodatkowej biurokracji.

Podsumowując, AI Act działa jak sygnalizacja świetlna dla AI: czerwone światło dla praktyk najwyższego ryzyka (zakaz), żółte dla zastosowań wymagających ostrożności i regulacyjnych zabezpieczeń, a zielone dla większości niegroźnych usprawnień. Kluczem dla biur rachunkowych jest rozpoznanie, z jakim typem AI mają do czynienia w swoich narzędziach – to determinuje dalsze obowiązki.

W kolejnych sekcjach przyjrzymy się konkretnym popularnym rozwiązaniom i temu, kiedy mogą podpadać pod kategorię wysokiego ryzyka.

Saldeo, ChatGPT, OCR… – czy te narzędzia to AI wysokiego ryzyka?

W praktyce biura rachunkowe korzystają z różnych narzędzi opartych o AI – warto przeanalizować najpopularniejsze z nich w kontekście AI Act. Kiedy takie systemy mogą zostać uznane za “wysokiego ryzyka”? Oto przegląd:

• SaldeoSMART, Comarch OCR i inne AI do odczytywania dokumentów – są to narzędzia wykorzystujące OCR i algorytmy AI do rozpoznawania tekstu z faktur, wyciągów bankowych itp., by automatycznie wprowadzać dane do systemu księgowego. Co do zasady nie są to systemy wysokiego ryzyka. Nie podejmują decyzji wpływających na prawa ludzi – pełnią rolę asystenta przy wprowadzaniu danych. Zaliczamy je do AI minimalnego ryzyka (ewentualnie ograniczonego, jeśli np. w interfejsie komunikują się z użytkownikiem). Kiedy mogłyby stać się wysokiego ryzyka? Teoretycznie, gdyby taki system OCR był częścią produktu związanego z bezpieczeństwem (np. moduł AI w urządzeniu medycznym) – ale w kontekście biura rachunkowego to nierealne. Innym scenariuszem mogłoby być użycie podobnej technologii do kontroli dokumentów tożsamości klientów w procesie KYC/AML – jeśli AI automatycznie ocenia wiarygodność dokumentu i ewentualnie odmawia obsługi klienta, mogłoby to się ocierać o kategorię dostępu do usług finansowych (wysokie ryzyko). Jednak typowe zastosowanie (odczyt faktur) nie wchodzi w obszary z Aneksu III AI Act. Zatem Saldeo, Comarch OCR i podobne narzędzia nie wymagają procedur dla AI wysokiego ryzyka – wystarczy dbać o zgodność z RODO (bo przetwarzają dane osobowe z faktur) i o poprawność działania.

• Xero, enova365, SAP, Sage – systemy finansowo-księgowe z funkcjami AI – coraz więcej programów księgowych (zarówno polskich, jak i zagranicznych) ma wbudowane moduły AI: np. sugestie księgowania na odpowiednie konta, automatyczna klasyfikacja wydatków, prognozy cash-flow itp. Czy sam program finansowo-księgowy może być “wysokiego ryzyka”? Raczej nie, o ile te AI są pomocnicze. Programy te wspierają księgowych, ale nie podejmują samodzielnie wiążących decyzji o klientach. Przykład: Xero (popularne globalnie oprogramowanie księgowe) wykorzystuje uczenie maszynowe do proponowania dopasowań transakcji bankowych do kategorii księgowych – jest to wsparcie pracy, nie decyduje o niczyich prawach. Takie funkcje mieszczą się w minimalnym lub ograniczonym ryzyku. Uwaga: Jeśli jednak dany system ERP/finansowy oferowałby moduł np. oceny zdolności kredytowej klienta albo automatycznej decyzji o przyznaniu limitu kupieckiego, to ten konkretny moduł byłby użyciem AI w obszarze finansowym wpływającym na klienta – a więc kwalifikowałby się jako wysokie ryzyko (dostęp do usług finansowych). Wtedy dostawca musiałby spełnić wymogi AI Act, a biuro jako użytkownik – zachować wszystkie obowiązki deployera systemu wysokiego ryzyka. W przypadku standardowego użycia programów księgowych z AI – nie jest to high-risk, choć zawsze trzeba monitorować wyniki AI (np. czy dobrze klasyfikuje transakcje).

• ChatGPT i podobne modele generatywne (Bing Chat, Bard, Claude) – ChatGPT szturmem wdarł się także do świata finansów i księgowości. Księgowi wykorzystują go np. do szybkiego wyszukiwania przepisów, tworzenia szkiców pism, tłumaczenia żargonu prawniczego na zrozumiały język, a nawet do wstępnych konsultacji podatkowych. Czy ChatGPT jest systemem wysokiego ryzyka? Sam w sobie nie – to tzw. system AI ogólnego przeznaczenia (GPAI), który może być użyty w różnych celach. AI Act wprowadza dla takich modeli osobną kategorię obowiązków (dla dostawców GPT-4, LLaMA itp.), ale nie klasyfikuje ich automatycznie jako wysokiego ryzyka, chyba że są wdrażane w konkretnym wysokorizykownym zastosowaniu. Przykładowo: jeśli ChatGPT zostałby użyty przez bank do automatycznego decyzjowania o przyznaniu kredytu, to cała ta aplikacja byłaby high-risk (kredyty to usługa istotna dla obywateli) i musiałaby spełnić wymogi AI Act. Natomiast używanie ChatGPT przez biuro rachunkowe jako asystenta Q&A dla księgowego (np. żeby wyjaśnił zawiłe przepisy) – to ograniczone ryzyko (wymóg, by pracownik wiedział, że korzysta z podpowiedzi AI i weryfikował je, co zresztą jest zdroworozsądkowe).  Kiedy ChatGPT staje się ryzykowny? Gdy polegamy na nim bez kontroli w kwestiach merytorycznych lub gdy pozwalamy mu wchodzić w interakcje z klientami bez nadzoru. Jeśli biuro udostępni na swojej stronie czat oparty o ChatGPT odpowiadający klientom na pytania podatkowe, to musi po pierwsze ujawnić, że to automat, po drugie – monitorować odpowiedzi, bo za ich poprawność i tak odpowiada firma. Trzeba też pamiętać o ochronie danych – wprowadzanie do ChatGPT danych klientów może naruszyć RODO, jeśli nie zadbamy o anonimizację lub odpowiednią podstawę prawną przetwarzania (to aspekt poza samym AI Act, ale istotny praktycznie).

• Systemy AI Microsoft, Google, Meta w księgowości – duże korporacje technologiczne oferują coraz więcej rozwiązań AI w biznesie. Przykłady: Microsoft 365 Copilot (asystent AI w narzędziach Office, pomagający m.in. analizować dane w Excelu czy podsumowywać e-maile), Azure AI (usługi chmurowe do budowania własnych modeli), Google Bard czy Meta Llama 2 (model udostępniony open-source, który może być wykorzystywany w różnych aplikacjach). Czy korzystanie z nich niesie ryzyko regulacyjne? Z punktu widzenia biura rachunkowego, użycie takich narzędzi jest zazwyczaj minimalnego lub ograniczonego ryzyka – np. Copilot generujący raport z danych finansowych to po prostu zaawansowane auto-uzupełnianie i nie wymaga szczególnych zgłoszeń. Natomiast konkretne zastosowanie decyduje o ewentualnej kwalifikacji: jeśli np. zbudujemy na Azure AI model do oceny wiarygodności kontrahenta i od tej oceny uzależnimy współpracę (co brzmi jak automatyczna ocena zdolności finansowej), to znowu zahaczamy o obszar decyzji finansowych – high-risk. Podobnie, gdyby ktoś wykorzystał model Meta do monitorowania pracy pracowników i wyciągania konsekwencji (np. AI ocenia wydajność księgowych i automatycznie zwalnia najsłabszych) – to podpada pod kategorię zarządzanie pracownikami, czyli również high-risk. W typowym scenariuszu jednak biuro rachunkowe korzysta z tych korporacyjnych AI w trybie asystenta, nie oddając im pełnej kontroli nad decyzjami – wtedy pozostają one w niższych kategoriach ryzyka. Warto dodać, że dostawcy tacy jak Microsoft, Google czy Meta będą musieli sami spełnić pewne obowiązki AI Act jako twórcy tzw. “systemów ogólnego przeznaczenia”. Nawet jeśli ich narzędzia nie są wysokiego ryzyka same w sobie, to od sierpnia 2025 r. wejdą przepisy nakładające na nich wymogi dot. transparentności, oceny ryzyka czy unikania nadużyć przez te potężne modele.
•  Dla użytkownika końcowego (biura) istotne jest, że AI Act obejmuje także dostawców spoza UE – np. OpenAI, Microsoft – jeśli ich systemy są udostępniane w Europie, muszą przestrzegać unijnych zasad. To pewna gwarancja, że narzędzia globalnych firm będą dostosowane do europejskich norm (podobnie jak stało się z RODO – globalni gracze musieli się podporządkować).

Podsumowanie: Większość narzędzi AI używanych w księgowości (skanowanie dokumentów, automatyzacja księgowa, chatboty wspierające klientów, asystenci w Excelu itp.) nie kwalifikuje się jako „wysokiego ryzyka”według AI Act. Stają się one problematyczne dopiero, gdy wykorzystujemy je w newralgicznych zastosowaniach, które samo prawo definiuje jako wrażliwe (kredyty, rekrutacja, itp.).

Biuro rachunkowe powinno więc przeanalizować swoje użycie AI – czy którekolwiek narzędzie podpada pod obszary wymienione w Aneksie III (wysokie ryzyko).  Jeśli nie – wystarczą ogólne dobre praktyki i przestrzeganie ewentualnych obowiązków dot. transparentności. Jeśli tak – trzeba będzie spełnić dodatkowe wymogi, o których poniżej.

Obowiązki biura rachunkowego jako użytkownika lub pośrednika AI

Kto ma obowiązki wynikające z AI Act? Przepisy rozróżniają role w łańcuchu AI: dostawca (provider) to ten, kto rozwija i udostępnia system AI innym (np. firma tworząca aplikację AI, jak OpenAI dostarczające ChatGPT).

Użytkownik/deployer to ten, kto wdraża system AI we własnej działalności (np. biuro rachunkowe korzystające z ChatGPT do obsługi klientów). Jest jeszcze rola importera i dystrybutora – gdy system jest sprowadzany spoza UE lub dalej odsprzedawany.

Biuro rachunkowe najczęściej będzie użytkownikiem (deployerem) narzędzi AI, ewentualnie pośrednikiem, jeśli integruje je w usługach dla klientów. AI Act przewiduje obowiązki dla każdej z tych ról – poniżej skupiamy się na obowiązkach użytkownika (deployer), z uwagami dla sytuacji, gdy biuro pełni rolę pośrednika.

1. Identyfikacja i kategoryzacja systemów AI. Pierwszym obowiązkiem przedsiębiorstwa jest zmapowanie, jakich systemów AI używa i jakie to kategorie ryzyka. Biuro rachunkowe powinno sporządzić wewnętrzny rejestr narzędzi AI: np. „Saldeo – OCR faktur, minimalne ryzyko; Chatbot na stronie – ograniczone ryzyko (interakcja z człowiekiem); Moduł oceny kredytu kupieckiego w programie X – wysokie ryzyko”. Ta inwentaryzacja jest kluczowa, bo determinuje dalsze kroki. Systemy wysokiego ryzyka trzeba będzie objąć dodatkowymi procedurami, a jeśli biuro miałoby jakimś cudem korzystać z systemu zakazanego – musi natychmiast zaprzestać (to akurat mało prawdopodobne, ale formalnie również trzeba to uwzględnić).

2. Korzystanie zgodnie z przeznaczeniem i dokumentacją. Jeżeli używamy systemu zaklasyfikowanego jako wysokiego ryzyka, musimy stosować się do instrukcji dostawcy i warunków użytkowania oraz monitorować działanie systemu w przewidziany sposób. AI Act nakazuje deployerom takich systemów wprowadzić odpowiednie środki techniczne i organizacyjne, by używanie AI było zgodne z jej założonym celem. Przykładowo: jeśli biuro korzysta z AI do przygotowania  wskaźnikowej analizy finansowej, która ma pewne ograniczenia (np. „działa tylko dla firm produkcyjnych, nie stosować dla banków”), to nie może ignorować tych ograniczeń. Trzeba także bieżąco nadzorowaćAI podczas użytkowania.

3. Nadzór ludzki (human oversight). Użytkownik systemu AI o wysokim ryzyku musi wyznaczyć kompetentną osobę (lub zespół) do bieżącego nadzoru nad działaniem AI. Osoba ta powinna być odpowiednio przeszkolona, mieć wiedzę i uprawnienia, by interweniować, korygować lub wyłączyć system w razie potrzeby W praktyce oznacza to, że biuro rachunkowe wdrażając np. zaawansowany algorytm do wykrywania oszustw podatkowych, powinno przypisać do niego opiekuna – np. głównego księgowego lub specjalistę ds. compliance, który będzie weryfikował alerty generowane przez AI, zatwierdzał decyzje i reagował na ewentualne błędy. Ten wymóg ma zagwarantować, że AI nie działa w pełni automatycznie bez kontroli, zwłaszcza w sytuacjach mogących wpływać na ludzi. Co ważne, nadzór ludzki jest też ochroną dla samego biura – minimalizuje ryzyko błędów. Dobrą praktyką (choć niewymaganą wprost dla niższych kategorii AI) jest stosowanie nadzoru również nad AI ograniczonego ryzyka: np. menedżer biura powinien monitorować odpowiedzi firmowego chatbota AI i ich jakość.

4. Zapewnienie transparentności wobec osób, których dotyczy AI. Jeżeli system AI we współpracy z biurem wchodzi w interakcje z człowiekiem (klientem, pracownikiem), biuro musi zapewnić, że ludzie są świadomi działania AI.  Oznacza to obowiązek informacyjny: np. klient czatujący na stronie z asystentem AI powinien być wyraźnie poinformowany, iż rozmawia z programem AI, a nie z żywym doradcą. Podobnie, jeśli biuro używa AI generującej raporty, które trafiają do klientów, dobrze jest zaznaczyć (choćby w stopce), że „raport został przygotowany przy wsparciu narzędzi AI”. Dodatkowo, jeśli biuro jako pracodawca wykorzystuje AI wysokiego ryzyka wobec pracowników (np. system oceny efektywności pracy), musi poinformować o tym pracowników i ich przedstawicieli. Transparentność buduje zaufanie i jest wymagana prawnie – ukryte używanie AI mogłoby zostać uznane za wprowadzanie w błąd i naruszenie AI Act (a także mogłoby naruszać inne przepisy, np. prawa konsumenckie czy pracownicze).

5. Monitorowanie, audyty i zgłaszanie incydentów. AI Act obliguje podmioty korzystające z systemów wysokiego ryzyka do bieżącego monitorowania ich działania i okresowych audytów pod kątem zgodności z wymogami np. AML. Biuro rachunkowe, wdrażając taki system, powinno ustanowić procedurę regularnej oceny – np. kwartalny przegląd wyników AI, analiza błędnych decyzji, sprawdzanie czy model nie „znosi” z czasem (drift). W razie wykrycia poważnego błędu lub incydentu związanego z AI (np. system niesłusznie zakwalifikował legalną transakcję jako przestępczą, co mogło narazić klienta na konsekwencje), trzeba niezwłocznie powiadomić dostawcę oraz organ nadzorczy i wstrzymać używanie systemu do czasu wyjaśnienia. To przypomina procedurę zgłaszania naruszeń ochrony danych z RODO, z tą różnicą, że tu chodzi o incydenty AI. Ważne jest też prowadzenie logów i dokumentacji – użytkownik powinien przez minimum 6 miesięcy przechowywać logi działania AI, aby móc prześledzić jej decyzje. Dla biura rachunkowego oznacza to np. zachowywanie w systemie historii decyzji AI (co przeanalizowała, jakie dała wyniki) przynajmniej przez wymagany czas. W praktyce dostawcy high-risk AI pewnie zapewnią funkcje logowania automatycznie.

6. Zgodność z RODO i ochrona danych. AI Act nie zwalnia z obowiązków dotyczących prywatności – wręcz je uwypukla. Wprost wskazano, że przedsiębiorca musi zapewnić, iż systemy AI są bezpieczne oraz zgodne z przepisami o ochronie danych osobowych (RODO).  Dla biur rachunkowych to niezwykle ważne, bo operują danymi osobowymi klientów. Każde wdrożenie AI musi być przeanalizowane także pod kątem RODO: czy dane są przetwarzane zgodnie z podstawą prawną, czy nie wykraczamy poza cel, czy zapewniamy zasady „privacy by design/default” (np. minimalizacja danych).  Jeśli biuro używa np. zewnętrznego AI w chmurze do analizy dokumentów, musi zadbać o umowę powierzenia danych, sprawdzić lokalizację danych (czy nie lecą poza EOG) itp. Nierzadko potrzebna będzie ocena skutków dla ochrony danych (DPIA), gdy AI przetwarza wrażliwe dane osobowe. Innymi słowy – AI Act i RODO idą ręka w rękę, a biuro musi być zgodne z jednym i drugim jednocześnie. Już teraz GIODO (UODO) patrzy krytycznie na niekontrolowane używanie np. ChatGPT do danych osobowych – a w przyszłości dojdzie nadzór organów ds. AI. Dlatego compliance AI = compliance RODO + spełnienie nowych wymogów AI Act.

7. Obowiązki przy wprowadzaniu na rynek (rola pośrednika). Jeśli biuro rachunkowe nie tylko korzysta, ale np. udostępnia własne rozwiązanie AI klientom (np. stworzyło wewnętrzny algorytm i oferuje go jako usługę doradczą dla innych), może stać się de facto dostawcą lub dystrybutorem w rozumieniu AI Act. Wtedy dochodzą dodatkowe obowiązki: upewnić się, że system spełnia wymagania techniczne, przeprowadzić ocenę zgodności, wystawić deklarację UE zgodności i oznakować CE, a w pewnych przypadkach zarejestrować system w bazie EU dla systemów wysokiego ryzyka.  Na szczęście mało prawdopodobne, by biuro rachunkowe na własną rękę tworzyło system high-risk i wprowadzało go na rynek. Bardziej realne jest, że wystąpi jako importer lub dystrybutor – np. sprowadzi spoza UE jakieś oprogramowanie AI do księgowości i będzie je sprzedawać innym biurom. W takiej sytuacji przepisy wymagają, by dystrybutor przed udostępnieniem sprawdził, czy system ma certyfikację, dokumentację, oznaczenie CE, czy dostawca wyznaczył przedstawiciela w UE. Jeśli dystrybutor zauważy, że AI nie spełnia wymogów, nie może wprowadzić go na rynek dopóki nie będzie zgodne. Musi też informować organy, jeśli wykryje poważne ryzyko. Dla większości biur te role nie będą jednak codziennością – kluczowe to być świadomym użytkownikiem i wybierać dostawców, którzy deklarują zgodność z AI Act.

Wszystkie powyższe obowiązki mogą wydawać się złożone, ale sprowadzają się do zasady: znaj swoje AI i zarządzaj jego ryzykiem. Biuro rachunkowe, wdrażając AI, powinno działać planowo: ocenić ryzyko wpływu na klientów, wprowadzić ludzką kontrolę tam, gdzie to istotne, i dokumentować procesy. Duże firmy mogą tworzyć specjalne polityki AI i powoływać oficerów ds. AI compliance (analogicznie do IOD z RODO), mniejsze – przynajmniej włączyć temat AI do istniejących procedur jakości czy bezpieczeństwa informacji.

Automatyczne rekomendacje podatkowe – pomoc czy odpowiedzialność?

Jednym z kuszących zastosowań AI w księgowości i doradztwie jest automatyczne doradzanie w sprawach podatkowych. Wyobraźmy sobie: system AI analizuje dane finansowe firmy i sugeruje optymalizacje podatkowe, podpowiada ulgi, wskazuje potencjalne ryzyka. Brzmi jak świetna pomoc dla doradcy podatkowego czy księgowego. Jednak rodzi to pytanie: gdzie leży granica między pomocą AI a odpowiedzialnością fachową doradcy? Innymi słowy, jeśli AI podpowie źle – kto za to odpowie?

Obecny stan prawny jest jasny: odpowiada człowiek lub firma, nie sztuczna inteligencja. AI nie ma podmiotowości prawnej, więc ewentualne błędne doradztwo podatkowe oparte na AI obciąży albo podmiot, który z AI korzystał (operatora), albo producenta narzędzia (jeśli zawinił wadliwy produkt).  W praktyce wobec klienta pełną odpowiedzialność ponosi doradca/księgowy, bo to on świadczy usługę. AI jest tylko narzędziem – jak kalkulator lub program księgowy. Jeśli więc księgowy bezkrytycznie zastosuje się do rekomendacji AI i np. wprowadzi klienta w błąd podatkowy, konsekwencje prawne (np. sankcje skarbowe, odsetki, roszczenia klienta) spadną na księgowego i jego firmę, nie na abstrakcyjny algorytm. Oczywiście, firma mogłaby potem dochodzić roszczeń od dostawcy wadliwego oprogramowania, ale z punktu widzenia klienta to księgowy zawinił.

Ryzyka związane z automatycznym doradztwem podatkowym: Eksperci podkreślają kilka zagrożeń. Po pierwsze, wyniki AI mogą być błędne lub nieaktualne – model może nie nadążyć za zmieniającymi się przepisami lub opierać się na danych obarczonych błędem. AI potrafi też wygenerować odpowiedź brzmiącą przekonująco, ale fałszywą (tzw. „halucynacje” AI). Po drugie, brak kontekstu i zdrowego rozsądku – przepisy podatkowe często wymagają interpretacji niuansów, a AI nie ma doświadczenia ani intuicji eksperta. Może pominąć wyjątkowe okoliczności, których człowiek by nie przeoczył. Po trzecie, problemy z wyjaśnialnością – jeśli AI da rekomendację, ale nie potrafi jasno uzasadnić, dlaczego (black box), trudno to obronić przed klientem czy urzędem skarbowym.  „Czarna skrzynka” nie jest argumentem w kontroli skarbowej – urzędnik zapyta księgowego: „dlaczego rozliczyliście to w ten sposób?”, a odpowiedź „bo tak poradziła maszyna” absolutnie nie wystarczy.

Granica między pomocą a odpowiedzialnością powinna być wytyczona wewnętrznie przez firmę: AI może służyć jako asystent, nie jako decydent. Oznacza to, że ostateczna decyzja i weryfikacja zawsze leży po stronie człowieka z uprawnieniami zawodowymi. Doradca podatkowy może użyć AI do wygenerowania listy potencjalnych ulg dla klienta, ale musi je następnie sprawdzić, potwierdzić w aktualnych przepisach i dostosować do sytuacji klienta. Jeżeli AI zasugeruje agresywną optymalizację (balansującą na krawędzi prawa), to doradca musi ocenić ryzyko i ewentualnie ją odrzucić – tak samo, jakby sugestię dał junior analityk.

W praktyce warto transparentnie komunikować klientom zakres wykorzystania AI. Np. „Analiza została wsparta algorytmem AI, jednak każda rekomendacja została zweryfikowana przez doradcę podatkowego, radcę prawnego czy biegłego rewidenta”. Taka informacja buduje zaufanie i uświadamia klientowi, że firma kontroluje AI, a nie odwrotnie. Pamiętajmy też, że AI Act w przypadku błędnych decyzji AI wymaga raportowania incydentów – jeśli np. AI doradcza wprowadziła w błąd wielu klientów, może to być kwalifikowane jako incydent do zgłoszenia (zwłaszcza gdy system był high-risk). To kolejny powód, by nie dopuszczać do niekontrolowanego działania AI w doradztwie podatkowym.

Na horyzoncie widać prace UE nad przepisami dot. odpowiedzialności cywilnej za AI – trwają dyskusje nad tym, jak formalnie przypisać odpowiedzialność za szkody wyrządzone przez AI (projekty tzw. AI Liability Act).  Niewykluczone, że w przyszłości pojawi się bardziej konkretny reżim odpowiedzialności (np. domniemanie winy operatora albo obowiązkowe ubezpieczenia OC dla takich przypadków). Na razie jednak biura rachunkowe muszą działać w istniejącym porządku prawnym: to one ponoszą odpowiedzialność wobec klientów i organów za poprawność rozliczeń – niezależnie od tego, czy użyły do tego własnego mózgu, kalkulatora czy inteligentnej maszyny. AI Act tego nie zmienia i nie znosi fachowych obowiązków staranności.

Wniosek: Automatyczne rekomendacje podatkowe mogą być cenną pomocą – przyspieszają research, podsuwają pomysły – ale powinny być traktowane jak „drugi opiniujący”, a nie jak głos wyroczni. Granica jest tam, gdzie człowiek przestaje weryfikować AI. Dopóki każda sugestia AI przejdzie przez krytyczne oko doświadczonego księgowego, dopóty AI jest sprzymierzeńcem. Gdy pozwolimy, by AI samodzielnie podejmowała decyzje za nas – ryzykujemy odpowiedzialnością za ewentualne błędy. Zasada „ufaj, ale sprawdzaj” powinna przyświecać każdemu zastosowaniu AI w doradztwie podatkowym.

Naruszenia i sankcje – AI Act vs. RODO

Czy AI Act przewiduje kary? Tak – i to dotkliwe, na poziomie porównywalnym, a nawet wyższym niż słynne kary z RODO. Ustalono trzy progi sankcji administracyjnych za naruszenia:  

• Naruszenie zakazanych praktyk (naruszenie stopnia 1) – za używanie AI z listy zakazanej (np. systemu do scoringu społecznego czy niedozwolonej biometrii) grozi grzywna do 35 mln euro lub 7% rocznego światowego obrotu (w zależności co wyższe).  To najwyższy wymiar kary, zbliżony do surowych sankcji znanych np. z prawa konkurencji. Dla porównania, maksymalna kara z RODO to 20 mln euro lub 4% obrotu – AI Act podnosi poprzeczkę jeszcze wyżej.

• Naruszenie wymogów i obowiązków przy high-risk AI (naruszenie stopnia 2) – za nieprzestrzeganie wymagań wobec systemów wysokiego ryzyka (np. brak oceny zgodności, brak nadzoru, niewypełnienie obowiązków deployera) grozi kara do 15 mln euro lub 3% obrotu. To wciąż bardzo poważna sankcja, porównywalna z wyższym progiem RODO (tam 4%/20 mln). Dla dużych firm technologicznych 3% globalnego przychodu to mogą być setki milionów euro, co ma silne działanie odstraszające.

• Podanie nieprawdziwych lub wprowadzających w błąd informacji organom (naruszenie stopnia 3) – jeśli dostawca lub użytkownik AI w ramach obowiązków sprawozdawczych skłamie lub zatai istotne informacje (np. oszuka w dokumentacji oceny ryzyka, zatai incydent), grozi do 7,5 mln euro lub 1% obrotu.  To przypomina sankcje za utrudnianie postępowań znane z innych regulacji.

Warto dodać, że dla MŚP przewidziano ulgowe traktowanie – organy mają brać pod uwagę sytuację małych firm przy wymierzaniu kar, by kary były proporcjonalne. Jednak nawet jeśli dla małego biura rachunkowego kara byłaby niższa niż te maksima, to w skrajnym wypadku może oznaczać np. kilkaset tysięcy euro – kwotę, która może zachwiać biznesem. Ponadto poza karami finansowymi mogą być nakładane inne środki: nakazy zaprzestania używania AI, konfiskata zysków, ostrzeżenia publiczne itp.  AI Act wymaga, by kary były “efektywne, proporcjonalne i odstraszające”, a państwa członkowskie muszą wprowadzić własne mechanizmy egzekwowania tych przepisów.

Przykłady naruszeń w praktyce (hipotetyczne, bo do czasu pełnego wejścia AI Act nie odnotowano jeszcze realnych kar pod jego rządami):

• Firma technologiczna udostępnia w UE system AI do analizy zachowań klientów, który de facto służy profilowaniu społecznemu i dyskryminuje pewne grupy – to by podpadało pod zakazany social scoring. Używanie takiego systemu np. przez bank czy firmę ubezpieczeniową mogłoby skutkować sankcją rzędu 7% globalnego obrotu dla dostawcy (stopień 1).  Analogicznie, gdyby biuro rachunkowe jakimś cudem zaczęło stosować zakazane techniki (np. podprogowe wpływanie na decyzje klientów w celu sprzedaży usług) – również naraża się na najwyższą karę.
• Producent oprogramowania księgowego wprowadza moduł AI oceniający wiarygodność kredytową, ale nie przeprowadził wymaganej oceny zgodności, nie ma dokumentacji i nie zgłosił systemu do rejestru – to naruszenie wymogów dla high-risk AI. Gdyby organ nadzorczy to wykrył (np. w wyniku skargi), firmie grozi kara do 15 mln / 3% obrotu (stopień 2).  Użytkownicy (biura rachunkowe), którzy z tego korzystali, teoretycznie również łamią prawo korzystając z niesprawdzonych narzędzi – im jednak bardziej grozić mogą nakazy wstrzymania używania systemu i potencjalnie mniejsze kary, chyba że świadomie ignorowali ostrzeżenia.
• Biuro rachunkowe korzystające z systemu AI do automatycznego doradztwa nie zgłasza poważnego incydentu, w którym AI masowo błędnie zaklasyfikowała przychody klientów, narażając ich na zaniżenie podatku. Próba zatuszowania sprawy przed organem (np. ukrycie logów, podanie fałszywych wyjaśnień) mogłaby zostać zakwalifikowana jako podanie wprowadzających w błąd informacji. To naruszenie stopnia 3 – do 7,5 mln / 1% obrotu. Krótko mówiąc, lepiej współpracować z organami i spełniać obowiązki raportowania niż ryzykować dodatkową karę za utrudnianie.

AI Act a RODO – podobieństwa i różnice: AI Act bywa porównywany do RODO, bo oba są pionierskimi regulacjami o globalnym zasięgu wpływu (wymuszają dostosowanie nie tylko w UE, ale i poza nią, jeśli ktoś chce działać na rynku UE).  Oba też przewidują wysokie kary administracyjne za nieprzestrzeganie, co oznacza, że compliance musi stać się priorytetem zarządów firm. Jest jednak kilka różnic:

• Zakres ochrony: RODO chroni prawa osób w kontekście danych osobowych – skupia się na prywatności i ochronie informacji. AI Act chroni prawa i bezpieczeństwo osób w kontekście działania systemów AI – skupia się na zapobieganiu szkodliwym decyzjom algorytmów, dyskryminacji, zagrożeniom fizycznym i prawnym wynikającym z AI. Cel jest podobny (ochrona ludzi), ale obszar inny. W praktyce jednak następuje silna synergia – system AI często przetwarza dane osobowe, więc obie regulacje nakładają się (np. AI analizująca dane finansowe osób musi być zgodna z AI Act i z RODO jednocześnie).
• Podejście oparte na ryzyku: Obie regulacje stosują podejście risk-based, ale w RODO jest ono mniej sformalizowane (pojawia się np. koncepcja DPIA – oceny skutków). AI Act natomiast expressis verbis dzieli systemy na kategorie ryzyka i dla każdej przypisuje obowiązki. W pewnym sensie AI Act jest bardziej precyzyjny co do różnych poziomów – w RODO wszystko zależy od oceny administratora, a w AI Act UE z góry wskazała: to i to jest high-risk, to jest banned itd. Dla firm oznacza to, że muszą zrozumieć tę kategoryzację – nowa rzecz w porównaniu do RODO.
• Obowiązki proceduralne: RODO wprowadziło m.in. obowiązek prowadzenia rejestru czynności, powołania IOD (DPO) w niektórych przypadkach, zgłaszania naruszeń danych w 72h, oceny DPIA dla ryzykownych operacji, zasadę privacy by design/default. AI Act wprowadza analogicznie: dokumentacja i ocena zgodności dla high-risk, rejestracja systemów w bazie, obowiązek monitorowania i zgłaszania incydentów, wytyczne co do nadzoru człowieka (human-in-the-loop). Pojawia się idea “AI by design” – czyli projektowania AI z myślą o zgodności i poszanowaniu praw (na razie w formie kodeksów postępowania). Wiele firm będzie musiało rozszerzyć swoje polityki compliance (np. te stworzone na potrzeby RODO) o elementy związane z AI.
• Organy nadzorcze: Nadzór nad RODO sprawują krajowe urzędy ochrony danych. W przypadku AI Act zapewne będą powołane lub wyznaczone analogiczne organy nadzoru ds. AI w każdym kraju (w Polsce być może przy UODO lub osobna jednostka). Dodatkowo AI Act ustanawia Europejską Radę ds. SI oraz Europejskie Biuro AI (EU AI Office), które ma koordynować nadzór na poziomie UE i wspierać wdrażanie regulacji. To podobna struktura jak Europejska Rada Ochrony Danych przy RODO.
• Globalny wpływ: RODO stało się de facto globalnym standardem ochrony prywatności – wiele krajów przyjęło podobne przepisy lub firmy globalnie implementują standardy RODO. AI Act ma szansę stać się globalnym wzorcem regulacji AI. Już teraz mówi się, że USA czy UK wzorują się częściowo na podejściu UE przy tworzeniu własnych ram (choć idą inną drogą, o czym za chwilę).  Dla firm to sygnał, że inwestycja w compliance AI Act może zaprocentować także na innych rynkach – być może za parę lat podobne wymogi będą wszędzie.

Reasumując, AI Act to dla świata AI to, czym RODO było dla świata danych – kamień milowy. Biura rachunkowe powinny podejść do niego z równą powagą: jak kilka lat temu wdrażano polityki ochrony danych, tak teraz należy wdrożyć politykę korzystania z AI. Kary za nieprzestrzeganie mogą być porównywalnie surowe, a reputacyjne skutki również dotkliwe (organy mogą publicznie informować o naruszeniach). Z drugiej strony, tak jak RODO wymusiło pozytywne zmiany (świadome zarządzanie danymi), tak AI Act może poprawić standardy wykorzystania AI – na czym skorzystają i klienci, i same firmy dzięki lepszej kontroli nad algorytmami.

Jak wdrażać AI zgodnie z AI Act, aby zyskać przewagę konkurencyjną?

Wdrożenie wymogów AI Act nie musi być tylko kosztownym obowiązkiem – może stać się dla biura rachunkowego szansą na usprawnienie procesów i zbudowanie przewagi. Oto kilka kroków i dobrych praktyk, które pozwolą wykorzystać AI zgodnie z prawem, a równocześnie osiągnąć korzyści biznesowe:

1. Przegląd i planowanie strategiczne AI. Tak jak wspomniano, zacznij od audytu obecnych narzędzi AI w firmie. Określ, gdzie już korzystasz z AI (może się okazać, że nawet nie nazywano tego AI – np. moduł przewidywania płynności finansowej w programie – a spełnia definicję AI), a gdzie planujesz wdrożyć nowe rozwiązania. Oceń, jakie problemy biznesowe chcesz rozwiązać AI i jakie ryzyka się z tym wiążą. Następnie opracuj plan wdrożenia AI z uwzględnieniem compliance: wybór narzędzi, szkolenie pracowników, mechanizmy kontrolne. Firma, która świadomie i proaktywnie zaadaptuje AI Act, będzie krok przed konkurencją, która zareaguje dopiero, gdy prawo zacznie być egzekwowane.

2. Wybór narzędzi zgodnych z AI Act. Przy ocenie dostawców AI dodaj nowy punkt: czy są gotowi na AI Act?Zapytaj dostawcę o to, czy ich produkt będzie certyfikowany, czy spełnia wymogi (np. czy chatbot ma funkcję wyświetlania informacji użytkownikowi, że jest AI). Wybieraj narzędzia od dostawców, którzy otwarcie informują o zgodności. Już teraz powstają oznaczenia i certyfikaty etycznej AI – korzystanie z rozwiązań z takimi certyfikatami może zmniejszyć ryzyko. Jeśli rozważasz budowę własnego rozwiązania AI (np. automatyzacji specyficznego procesu księgowego), upewnij się, że zespół deweloperski zna założenia AI Act i wdraża zasady projektowania zgodnego z prawem i etyką (ethical AI by design).  W Polsce i UE pojawiają się programy wsparcia i piaskownice regulacyjne AI – uczestnictwo w nich pozwoli przetestować innowacje pod okiem regulatora, minimalizując ryzyko naruszeń.

3. Szkolenie zespołu i kultura AI. Przewaga konkurencyjna płynie nie tylko z posiadania AI, ale z umiejętnego korzystania z niej. Zainwestuj w szkolenia dla pracowników: zarówno techniczne (jak obsługiwać nowe narzędzia AI), jak i świadomościowe (jakie są ryzyka, co mówi AI Act, na co uważać). Kultura organizacyjna powinna wspierać odpowiedzialne innowacje – zachęcać do zgłaszania ewentualnych problemów z AI, dzielenia się doświadczeniami, ulepszania procesów. Jeśli pracownicy będą rozumieć, że np. nie wolno wklejać do ChatGPT całych baz danych klientów (bo to ryzyko dla prywatności) albo że powinni zawsze weryfikować odpowiedzi AI, firma uniknie wielu błędów. Wysoko wykwalifikowany, świadomy zespół = lepsze usługi dla klientów.

4. Procedury wewnętrzne i nadzór. Wdróż wewnętrzne polityki korzystania z AI. Określ w nich m.in.: jak wybieramy nowe narzędzia AI (np. konieczny przegląd działu compliance), kto zatwierdza ich użycie, jakie dane można do nich wprowadzać, jakie są kroki weryfikacji wyników AI, jak dokumentować decyzje podjęte z pomocą AI. Ustanów np. zasadę podwójnej kontroli kluczowych rekomendacji wygenerowanych przez AI – zanim trafi do klienta, musi zobaczyć ją drugi doświadczony pracownik. Regularnie audytuj działanie AI (nawet jeśli nie jest high-risk, to audyty pomogą wychwycić potencjalne problemy zanim przerodzą się w kryzys).  Taki rygor może brzmieć jak hamulec, ale w rzeczywistości zwiększa zaufanie do waszych usług. Możesz komunikować klientom: „korzystamy z nowoczesnych narzędzi AI, ale każda decyzja przechodzi audyt wewnętrzny, by zapewnić najwyższą jakość i zgodność z prawem”. To staje się argumentem marketingowym, podczas gdy konkurencja może obawiać się używać AI lub robi to chaotycznie.

5. Wizerunek i zaufanie klientów. Na rynku usług profesjonalnych zaufanie to podstawa. AI Act kładzie nacisk na przejrzystość i uczciwość wobec użytkowników – warto te wartości przekuć w swój atut. Informuj otwarcie klientów, że wykorzystujesz AI tam, gdzie to robi różnicę (np. „dzięki automatyzacji AI faktury księgujemy 2x szybciej, co obniża koszty usługi”), ale jednocześnie zapewniaj, że masz nad tym pełną kontrolę („wszystkie rekomendacje AI są sprawdzane przez naszych ekspertów, a twoje dane są bezpieczne”). Klient, który słyszy tak zbalansowany przekaz, będzie spokojniejszy niż gdyby sam musiał się domyślać, czy przypadkiem jakiś „robot” nie rozlicza mu podatków po cichu. Transparentność buduje przewagę – w przyszłości, gdy AI Act wejdzie w życie, firmy które już teraz stosują jego ducha (transparentność, nadzór, odpowiedzialność) będą postrzegane jako bardziej wiarygodne.

6. Innowacje zgodne z prawem jako selling point. Możesz uczynić z compliance AI element swojej marki. Np. opracuj na stronie krótki manifest „Nasze podejście do sztucznej inteligencji”, gdzie opiszesz, że firma stosuje AI zgodnie z najlepszymi praktykami, przestrzega standardów etycznych i prawnych (w tym AI Act), bierze odpowiedzialność za wyniki swoich algorytmów. Dla wielu klientów (zwłaszcza korporacyjnych, które same podlegają regulacjom) taka deklaracja może być ważna przy wyborze dostawcy usług księgowych. Pomyśl o certyfikatach – być może pojawią się programy certyfikacji firm za odpowiedzialne wykorzystanie AI. Posiadanie takiego znaku jakości wyróżni Cię na tle innych. Wreszcie, uczestnicz w dialogu branżowym: zrzeszenia księgowych, konferencje – tam toczy się dyskusja, jak korzystać z AI. Współtwórz kodeksy postępowania branżowe dotyczące AI (AI Act zachęca do nich). Bycie liderem w tej dziedzinie przełoży się na prestiż i zaufanie.

7. Wykorzystaj czas na dostosowanie. Jak wspomniano, większość przepisów AI Act zacznie obowiązywać w 2026 r., a niektóre wcześniej. To oznacza, że mamy kilkanaście miesięcy na przygotowania. Warto nie zwlekać – firmy, które odpowiednio wcześnie dostosują się do nowych regulacji, unikną pośpiechu i nerwowych ruchów tuż przed deadlinem. Co więcej, mogą już teraz spokojnie eksperymentować z AI w kontrolowany sposób, podczas gdy mniej proaktywna konkurencja będzie czekać. Można powiedzieć, że w tym momencie jest przewaga pierwszego ruchu – kto pierwszy poukłada swoje sprawy z AI, ten szybciej skorzysta z jej pełnego potencjału, mając pewność, że grunt pod nogami (prawny i etyczny) jest stabilny.

Podsumowując, wdrażanie AI zgodnie z AI Act to inwestycja, która się opłaci. Uniknięcie kar to jedno, ale ważniejsze są usprawnienia operacyjne i reputacja. Biuro rachunkowe, które bezpiecznie zautomatyzuje procesy, będzie bardziej efektywne (czyli może oferować tańsze lub szybsze usługi), a zarazem bardziej godne zaufania. W erze, gdzie klienci coraz bardziej zwracają uwagę na bezpieczeństwo danych i odpowiedzialność technologiczną, bycie zgodnym z AI Act może stać się wyróżnikiem na rynku – podobnie jak niegdyś certyfikat ISO czy zgodność z RODO bywały argumentem w ofertach. Najważniejsze to podejść do tego pozytywnie: nie jak do hamulca dla cyfryzacji, ale jak do ram, w których można z odwagą korzystać z AI.

Perspektywa transgraniczna – USA, UK, Turcja a zgodność z AI Act

Biura rachunkowe nie działają w próżni – korzystają z oprogramowania z różnych krajów i obsługują klientów międzynarodowych. W kontekście AI Act pojawia się pytanie: co z AI spoza UE? Jak współpraca np. z firmą z USA czy Turcji ma się do unijnych wymogów? Oto kluczowe aspekty perspektywy transgranicznej:

Eksterytorialny zasięg AI Act. Podobnie jak RODO, AI Act działa “w praktyce” poza granicami UE – ma szeroki zakres terytorialny. Rozporządzenie dotyczy wszystkich dostawców, którzy wprowadzają do obrotu lub oddają do użytku systemy AI na terenie Unii, nawet jeśli mają siedzibę poza UE. Oznacza to, że np. amerykański producent oprogramowania AI używanego przez biuro rachunkowe w Polsce musi przestrzegać AI Act, bo jego system jest używany na rynku unijnym. W praktyce firmy spoza UE będą musiały wyznaczyć przedstawiciela w UE i podlegać nadzorowi unijnemu, jeśli oferują tu systemy high-risk. Dla biura rachunkowego to ważna informacja: nie jesteś sam odpowiedzialny za zgodność narzędzia spoza UE – dostawca też ma obowiązki. Warto jednak upewnić się, że zagraniczny partner jest ich świadomy. Przykładowo, jeśli używasz amerykańskiego chatbota AI, zapytaj dostawcę, czy zna AI Act i planuje dostosowanie (np. czy będzie spełniał wymogi transparentności, czy zarejestruje swój system, jeśli zajdzie potrzeba). Jeżeli zagraniczny dostawca bagatelizuje temat, to znak ostrzegawczy – może lepiej poszukać alternatywy bardziej “compliance-friendly”.

Różnice regulacyjne w USA i UK. USA nie mają na razie jednolitej federalnej ustawy o AI porównywalnej z AI Act. Regulacje są fragmentaryczne – istnieją wytyczne, jak Blueprint for AI Bill of Rights (rekomendacje Białego Domu), są przepisy sektorowe w niektórych stanach (np. Nowy Jork wymaga audytów bias dla AI rekrutacyjnego),  ale brak jednej ogólnokrajowej normy. To oznacza, że amerykańskie firmy technologiczne muszą często dostosowywać się do reguł UE, jeśli chcą tu działać – i wiele z nich to robi, bo rynek UE jest duży. Wielka Brytania (UK) po Brexicie obrała nieco inną ścieżkę: zapowiedziała podejście proinnowacyjne, oparte na istniejących przepisach sektorowych i zasadach, zamiast jednej ustawy AI. W 2023 r. wydano tam białą księgę AI, która stawia na elastyczne wytyczne dla regulatorów branżowych, a nie sztywny system licencji jak w UE. Brytyjskie firmy nie mają identycznego prawa jak AI Act, ale… jeśli działają na rynku UE, to i tak AI Act je obejmie (zgodnie z zasadą wyżej). W relacjach B2B z firmami z UK warto więc upewnić się, że rozumieją one wymogi AI Act, bo może się zdarzyć, że coś dozwolonego w UK będzie zabronione lub obwarowane wymogami w UE. Turcja z kolei nie jest członkiem UE, ale od lat często zbliża swoje regulacje do unijnych (np. ma własną ustawę o ochronie danych osobowych wzorowaną na RODO). W obszarze AI Turcja również pracuje nad strategią – przyjęła Narodową Strategię AI na lata 2021-2025, skupiającą się na rozwoju AI i etyce, ale nie ma jeszcze twardej ustawy. Jeżeli biuro rachunkowe współpracuje z podmiotami w Turcji (np. korzysta z outsourcingu usług księgowych lub oprogramowania tworzonego w Turcji), dobrze jest uwzględnić w umowach wymagania dotyczące AI. Choć tureckie prawo nie zmusza ich do tego samego co AI Act, to kontraktowo można zastrzec pewne standardy (np. że dostarczane rozwiązanie AI nie narusza praw podstawowych, że będzie informować o działaniu AI itp.). To zabezpiecza Was po stronie UE.

Transfery danych i aspekty RODO. Współpraca transgraniczna w zakresie AI pociąga za sobą także kwestie przepływu danych. Jeśli np. biuro w Polsce korzysta z chmurowego AI hostowanego w USA lub Turcji, to mamy transfer danych osobowych poza EOG – konieczne jest spełnienie warunków RODO (np. standardowe klauzule umowne, ew. ocena transferu). AI Act tego nie reguluje, ale praktycznie nie można o tym zapomnieć. Co z tego, że AI będzie zgodna z AI Act, jeśli korzystanie z niej złamie RODO poprzez nielegalny transfer? Trzeba więc patrzeć holistycznie na zgodność. W ramach przewagi konkurencyjnej, firmy które potrafią bezpiecznie i legalnie korzystać z globalnych rozwiązań (np. tak zorganizują proces, że dane wrażliwe nie wypływają poza UE nawet przy użyciu zagranicznej AI) będą wygrywać.

Globalne standardy i przyszła interoperacyjność. Możemy spodziewać się, że z czasem dojdzie do pewnej konwergencji regulacji AI. UE nadaje ton (AI Act), ale USA, Kanada, Japonia czy Australia też dyskutują nad własnymi zasadami. Na forum międzynarodowym (np. OECD, G7) trwają rozmowy o wspólnych podejściach do AI – choćby w zakresie etyki i bezpieczeństwa. Dla firm to dobra wiadomość: jest szansa, że zgodność z AI Act będzie uznawana za spełnienie wielu wymogów na świecie, jeśli pojawią się podobne przepisy gdzie indziej. Już teraz mówi się, że AI Act stanie się de facto globalnym standardem AI, tak jak RODO stało się standardem ochrony danych. Także UK i USA zapewne częściowo oprą swoje przyszłe regulacje o zasady zbliżone do AI Act (np. w zakresie oceny ryzyka czy transparentności).  Oczywiście będą różnice – np. w USA podejście będzie bardziej dobrowolne/branżowe – ale firmy, które wdrożą program zgodności z AI Act, będą lepiej przygotowane gdziekolwiek indziej.

Przykład praktyczny: Biuro rachunkowe używa popularnego amerykańskiego systemu do analizy danych finansowych. System ten nie jest jeszcze zgodny z AI Act (bo do 2026 jeszcze chwila). Biuro powinno już teraz naciskać dostawcę: „czy planujecie dostosowanie do nowych przepisów UE? Czy wasz system przejdzie ocenę zgodności? Jeśli to system high-risk (np. oceniający zdolność kredytową), czy będziecie go rejestrować w UE?”. Jeśli dostawca nie daje jasnej odpowiedzi, to ryzyko dla biura – może warto poszukać zamiennika z UE lub takiego, który deklaruje compliance. W umowie z dostawcą można zawrzeć klauzule o odpowiedzialności za brak zgodności z prawem – to zabezpieczy was, że w razie czego koszty ewentualnych dostosowań czy kar przerzucicie na producenta. Podobnie, przy outsourcingu np. usług księgowych do firmy w Indiach czy Turcji – w umowie wymagajcie, że jeśli ta firma używa u siebie AI, to robi to zgodnie z AI Act (mimo że formalnie ich prawo tego nie wymaga). Takie podejście wpisuje się w due diligence łańcucha dostaw.

Transgraniczne przepływy danych związane z AI Act: Ciekawostką jest, że AI Act może pośrednio wpływać na kontrolę eksportu niektórych systemów AI – np. UE może uznać pewne AI za tak ryzykowne, że ograniczy ich udostępnianie poza UE (podobnie jak technologie podwójnego zastosowania). Na razie to teoretyczne rozważania, ale firmy globalne śledzą ten temat. Dla biur rachunkowych ma to niewielkie znaczenie (nie eksportują AI), ale warto wiedzieć, że geopolityka AI nabiera tempa.

Podsumowując: współpraca z partnerami spoza UE wymaga czujności. AI Act sprawia, że standardy europejskie trzeba uwzględniać w całym łańcuchu dostaw technologii. Biuro rachunkowe korzystające z zagranicznych narzędzi powinno:

• wybierać dostawców gotowych na AI Act,
• zabezpieczać umownie kwestie zgodności i odpowiedzialności,
• dbać o kwestie transferów danych (RODO),
• monitorować zmiany regulacyjne w krajach partnerów (by wiedzieć, czy np. w USA pojawiły się nowe obowiązki, które mogą wpłynąć na funkcjonowanie używanego systemu).

Można pokusić się o stwierdzenie, że AI Act eksportuje europejskie wartości w obszarze AI na świat – a to oznacza, że polskie biuro rachunkowe, które jako jedno z pierwszych dostosuje się do AI Act, będzie również liderem jakości w środowisku międzynarodowym. Być może łatwiej zdobędzie klientów z firm z USA czy Azji, które szukają partnerów spełniających najwyższe standardy compliance. W globalnej gospodarce takie atuty liczą się coraz bardziej.

Podsumowanie: AI Act przynosi rewolucję porównywalną z RODO, ale w obszarze algorytmów i sztucznej inteligencji. Dla biur rachunkowych oznacza to konieczność świadomego zarządzania technologią AI – od identyfikacji ryzyk, poprzez wdrożenie odpowiednich procedur nadzoru, po zapewnienie transparentności wobec klientów. Choć na pierwszy rzut oka to dodatkowe wymagania, podejście zgodne z AI Act przełoży się na większe bezpieczeństwo, jakość usług i zaufanie klientów. Automatyzacja księgowości będzie postępować, a firmy które opanują ją w zgodzie z nowym prawem, zyskają przewagę. Warto już dziś zainteresować się AI Act i rozpocząć przygotowania – tak, by AI była dla nas wszystkich sprzymierzeńcem, a nie źródłem nowych problemów. Europejskie przepisy mają szansę uczynić AI bardziej ufną i przyjazną, a biura rachunkowe mogą na tej fali wypłynąć na nowe, bardziej efektywne wody prowadzenia biznesu. Sztuczna inteligencja w księgowości może być wielkim dobrodziejstwem – pod warunkiem, że wdrożymy ją mądrze, odpowiedzialnie i zgodnie z regulacjami. Ja i moja Kancelaria świadomie komunikujemy klientom „korzystamy z nowoczesnych narzędzi AI, ale każda decyzja przechodzi audyt wewnętrzny, by zapewnić najwyższą jakość i zgodność z prawem”.