Prawo karne dla biznesu
Katowice
  1. Chmielniak adwokaci
  2. Blog
  3. Czy sztuczna inteligencja może narazić firmę na odpowiedzialność karną?
Blog

Czy sztuczna inteligencja może narazić firmę na odpowiedzialność karną?

Czy sztuczna inteligencja może narazić firmę na odpowiedzialność karną?

Obecnie w XXI wieku nasza rzeczywistość została zrewolucjonizowana przez sztuczną inteligencję. To właśnie ona z dnia na dzień coraz bardziej wkracza w nasze życie. Cyfrowi asystenci w telefonach komórkowych, wyszukiwarki internetowe, tłumaczenia maszynowe, systemy bezpieczeństwa cybernetycznego, zakupy i reklama online czy autonomiczne pojazdy stanowią jedynie wybrane przykłady zastosowania sztucznej inteligencji, które jeszcze kilkanaście lat temu były kojarzone przede wszystkim z filmami science fiction.

Rozwiązania oparte na AI są wykorzystywane zarówno przez osoby prywatne, jak i przedsiębiorców, stając się integralnym elementem prowadzenia działalności gospodarczej. Dynamiczny rozwój tej technologii powoduje jednak, że obok niewątpliwych korzyści pojawiają się również nowe zagrożenia prawne. Coraz częściej przedsiębiorcy zadają pytania nie tylko o efektywność wdrażanych systemów, ale również o zakres odpowiedzialności za skutki ich działania.

W praktyce szczególnego znaczenia nabiera odpowiedzialność karna za sztuczną inteligencję w firmie oraz granice odpowiedzialności osób podejmujących decyzje o wdrażaniu i wykorzystywaniu AI.

Kiedy sztuczna inteligencja może narazić firmę na odpowiedzialność karną?

Wbrew pojawiającym się czasem opiniom sztuczna inteligencja nie posiada podmiotowości prawnej. Nie jest osobą fizyczną ani osobą prawną, a zatem nie może samodzielnie ponosić odpowiedzialności karnej. Nawet najbardziej zaawansowane modele pozostają narzędziami wykorzystywanymi przez człowieka lub organizację.

Nie oznacza to jednak, że wykorzystanie AI pozostaje obojętne z perspektywy prawa karnego. Wręcz przeciwnie, odpowiedzialność karna za AI w firmie może powstać wszędzie tam, gdzie system sztucznej inteligencji zostaje wykorzystany do popełnienia czynu zabronionego albo gdy przedsiębiorca nie zapewnia odpowiedniego nadzoru nad jego funkcjonowaniem.

Ryzyko pojawia się w szczególności w sytuacjach, gdy:

  • AI wykorzystywana jest do oszustw gospodarczych,
  • dochodzi do generowania fałszywych dokumentów,
  • system przetwarza dane osobowe niezgodnie z prawem,
  • naruszona zostaje tajemnica przedsiębiorstwa,
  • przedsiębiorca ignoruje obowiązki wynikające z AI Act,
  • brak jest odpowiedniego nadzoru nad systemem AI.

W praktyce ryzyko prawne AI w biznesie nie ogranicza się wyłącznie do kwestii odpowiedzialności administracyjnej. W określonych sytuacjach konsekwencje mogą mieć również charakter karny.

W jakich modelach AI uczestniczy w przestępstwie?

Sztuczna inteligencja może uczestniczyć w przestępstwie na kilka sposobów. Najczęściej jest wykorzystywana jako narzędzie przez człowieka, np. do tworzenia deepfake'ów, prowadzenia kampanii phishingowych czy generowania fałszywych dokumentów.

AI może również wspierać procesy decyzyjne w firmie. Jeżeli system działa wadliwie lub nie jest właściwie nadzorowany, może prowadzić do naruszenia prawa i powstania odpowiedzialności po stronie przedsiębiorcy.

Coraz większe znaczenie mają także systemy działające częściowo autonomicznie. W takich przypadkach kluczowe staje się ustalenie, kto odpowiada za skutki ich działania oraz czy zapewniono odpowiedni nadzór nad wykorzystywaną technologią.

Czy AI może być narzędziem przestępstwa – oszustwa, deepfake, phishingu?

Ze względu na coraz szersze zastosowanie sztucznej inteligencji w zdigitalizowanym środowisku biznesowym coraz częściej obserwujemy również wykorzystywanie tej technologii do celów przestępczych. Szczególne zagrożenie stanowią obecnie zjawiska takie jak deepfake oraz phishing.

Deepfake polega na generowaniu lub modyfikowaniu materiałów audio i wideo w taki sposób, aby sprawiały wrażenie autentycznych. Technologia ta umożliwia stworzenie nagrania przedstawiającego konkretną osobę wypowiadającą słowa, których nigdy nie powiedziała, albo wykonującą czynności, których w rzeczywistości nie wykonywała. Szczególnie niebezpieczne są deepfake'i głosowe wykorzystywane do podszywania się pod członków zarządu lub kontrahentów.

Równie istotnym zagrożeniem jest phishing, czyli metoda oszustwa polegająca na podszywaniu się pod zaufane osoby lub instytucje w celu wyłudzenia danych, uzyskania dostępu do systemów informatycznych albo doprowadzenia do wykonania określonej czynności, najczęściej przelewu środków finansowych. Dzięki wykorzystaniu AI wiadomości phishingowe są obecnie znacznie bardziej spersonalizowane, poprawne językowo i trudniejsze do odróżnienia od autentycznej korespondencji.

Do najczęstszych przykładów wykorzystania AI należą:

  • generowanie deepfake'ów głosowych i wideo,
  • automatyczne tworzenie wiadomości phishingowych,
  • podszywanie się pod członków zarządu,
  • generowanie fałszywych dokumentów księgowych,
  • tworzenie nieprawdziwych raportów finansowych,
  • automatyzacja kampanii oszustw internetowych.

Niejednokrotnie wykorzystuje się również sztuczną inteligencję do pozyskiwania informacji stanowiących tajemnicę przedsiębiorstwa, analizowania danych konkurentów oraz prowadzenia działań mogących stanowić czyny nieuczciwej konkurencji.

Czy zaniechanie nadzoru nad systemem AI rodzi odpowiedzialność karną?

Korzystanie z systemów AI niemal zawsze wiąże się z występowaniem określonych ryzyk.

AI Act opiera się na modelu klasyfikacji systemów sztucznej inteligencji według poziomu zagrożenia. W zależności od rodzaju wykorzystywanego systemu przedsiębiorca może być zobowiązany do wdrożenia szeregu środków bezpieczeństwa.

Szczególne znaczenie mają systemy wysokiego ryzyka. Do tej kategorii mogą należeć między innymi rozwiązania wykorzystywane w procesach rekrutacyjnych, systemy służące do oceny kandydatów do pracy, systemy rozpoznawania emocji czy narzędzia wspierające podejmowanie decyzji mających istotny wpływ na sytuację jednostki.

Korzystanie z takich modeli wymaga wdrożenia:

  • systemu zarządzania ryzykiem,
  • procedur zarządzania danymi,
  • mechanizmów monitorowania działania systemu,
  • odpowiedniej dokumentacji,
  • skutecznego nadzoru człowieka.

Jeżeli po stronie korzystającego nie zostanie zrealizowany obowiązek nadzoru nad systemem AI, może to prowadzić przede wszystkim do nałożenia administracyjnych kar pieniężnych przewidzianych w AI Act.

Jednocześnie zaniechanie nadzoru nad AI może stanowić istotną okoliczność przy ocenie odpowiedzialności osób zarządzających przedsiębiorstwem, zwłaszcza gdy wadliwe działanie systemu doprowadziło do powstania szkody majątkowej lub popełnienia przestępstwa.

Dlatego nadzór nad systemem AI w firmie staje się obecnie jednym z kluczowych elementów compliance.

Co z autonomicznym działaniem AI i rozproszeniem odpowiedzialności?

Jednym z najważniejszych problemów prawnych związanych ze sztuczną inteligencją jest tzw. rozproszenie odpowiedzialności.

W praktyce za funkcjonowanie jednego systemu AI mogą odpowiadać równocześnie:

  • twórca modelu,
  • dostawca rozwiązania,
  • integrator systemu,
  • administrator,
  • użytkownik końcowy.

Im bardziej autonomiczny jest system, tym trudniejsze staje się ustalenie, który z uczestników procesu powinien ponosić odpowiedzialność za skutki jego działania.

To właśnie problem rozproszenia odpowiedzialności jest obecnie jednym z najczęściej analizowanych zagadnień w literaturze poświęconej sztucznej inteligencji.

Kto odpowiada karnie za działanie AI w firmie? Twórca, dostawca, operator czy użytkownik?

Obecnie nie istnieją podstawy do przypisania odpowiedzialności samej sztucznej inteligencji. Odpowiedzialność musi zostać przypisana konkretnemu podmiotowi, który miał wpływ na projektowanie, wdrożenie lub wykorzystanie danego rozwiązania.

W praktyce odpowiedzialność może zostać przypisana:

  • producentowi systemu AI,
  • dostawcy rozwiązania,
  • podmiotowi wdrażającemu AI,
  • administratorowi systemu,
  • użytkownikowi wykorzystującemu AI.

Każda sprawa wymaga indywidualnej analizy zakresu obowiązków poszczególnych uczestników procesu.

Czy członkowie zarządu odpowiadają za wdrożenie i nadzór nad AI?

Coraz większego znaczenia nabiera również odpowiedzialność członków zarządu za AI.

Wdrażanie sztucznej inteligencji przestaje być wyłącznie zagadnieniem technologicznym. Staje się elementem zarządzania ryzykiem przedsiębiorstwa.

Od członków zarządu oczekuje się obecnie nie tylko podejmowania decyzji biznesowych związanych z wykorzystaniem nowych technologii, ale również zapewnienia zgodności ich funkcjonowania z obowiązującymi przepisami prawa.

Dlatego compliance AI w spółce powinno obejmować:

  • ocenę ryzyka,
  • procedury korzystania z AI,
  • szkolenia pracowników,
  • system zgłaszania incydentów,
  • audyty zgodności.

Brak takich działań może prowadzić do odpowiedzialności cywilnej, administracyjnej, a w określonych przypadkach również karnej.

Co zmienia AI Act w zakresie odpowiedzialności karnej?

AI Act jest pierwszym na świecie kompleksowym aktem prawnym regulującym funkcjonowanie systemów sztucznej inteligencji.

Rozporządzenie nie wprowadza nowych przestępstw, ale nakłada szereg obowiązków na podmioty projektujące, wdrażające oraz wykorzystujące systemy AI.

Naruszenie tych obowiązków może skutkować bardzo wysokimi karami administracyjnymi. Jednocześnie niewykonanie obowiązków wynikających z AI Act może stanowić istotny argument przy ocenie odpowiedzialności osób zarządzających przedsiębiorstwem.

Czy spółka odpowiada za przestępstwa popełnione z użyciem AI? Odpowiedzialność podmiotów zbiorowych

Nie można również pomijać zagadnienia odpowiedzialności podmiotów zbiorowych a AI.

Jeżeli system sztucznej inteligencji zostanie wykorzystany do popełnienia przestępstwa w interesie lub na rzecz przedsiębiorstwa, konsekwencje mogą dotyczyć nie tylko osób fizycznych, ale również samej spółki.

Może to dotyczyć w szczególności:

  • oszustw gospodarczych,
  • wyłudzeń,
  • naruszeń tajemnicy przedsiębiorstwa,
  • naruszeń związanych z ochroną danych osobowych,
  • czynów nieuczciwej konkurencji.

Jak ograniczyć ryzyko karne związane z AI w firmie?

Podstawowym sposobem ograniczenia ryzyka jest wdrożenie skutecznego systemu zarządzania zgodnością.

Przedsiębiorcy powinni:

  • przeprowadzać analizy ryzyka przed wdrożeniem AI,
  • wdrożyć politykę korzystania ze sztucznej inteligencji,
  • wyznaczyć osoby odpowiedzialne za nadzór nad systemami,
  • prowadzić szkolenia pracowników,
  • regularnie przeprowadzać audyty,
  • dokumentować procesy decyzyjne.

Szczególne znaczenie ma również obszar AI a ochrona danych osobowych. Wiele systemów sztucznej inteligencji wykorzystuje ogromne ilości danych, w tym danych szczególnych kategorii, co może prowadzić do poważnych naruszeń RODO.

W sektorach regulowanych poziom ryzyka jest jeszcze wyższy. AI w branży medycznej odpowiedzialność karna może wiązać się z błędnymi rekomendacjami diagnostycznymi lub terapeutycznymi, natomiast AI w transporcie odpowiedzialność obejmuje między innymi funkcjonowanie autonomicznych systemów wspomagania kierowcy oraz pojazdów autonomicznych.

Odpowiedzialność karna za sztuczną inteligencję w firmie staje się jednym z najważniejszych wyzwań prawnych stojących przed współczesnymi przedsiębiorcami.

Chociaż sama AI nie może być sprawcą przestępstwa, jej wykorzystanie może prowadzić do odpowiedzialności osób zarządzających przedsiębiorstwem, pracowników, a niekiedy również samej spółki.

Dlatego odpowiedzialność karna za AI w firmie nie jest wyłącznie zagadnieniem technologicznym. To przede wszystkim kwestia właściwego zarządzania ryzykiem, wdrożenia procedur compliance oraz zapewnienia skutecznego nadzoru nad systemami sztucznej inteligencji. Wraz z wejściem w życie AI Act znaczenie tych obowiązków będzie systematycznie rosło, a przedsiębiorcy wykorzystujący AI będą musieli wykazać, że korzystają z niej w sposób bezpieczny, zgodny z prawem i podlegający realnej kontroli człowieka.

Barbara Stuglik
Autor
Barbara Stuglik

Barbara od V roku studiów związana jest z Kancelarią Chmielniak Adwokaci.  Specjalizuje się głównie w obszarach prawa karnego oraz karnego gospodarczego. Posiada doświadczenie w sprawach związanych z aresztowaniem, ściganiem przez Interpol, przestępstwami o charakterze karuzelowym oraz działaniem na szkodę spółki.  

Absolwentka prawa na Wydziale Prawa i Administracji Uniwersytetu Śląskiego. Obroniła pracę magisterską dotyczącą odpowiedzialności sztucznej inteligencji za czyny nieuczciwej konkurencji. W trakcie studiów aktywnie uczestniczyła w działalności w Studenckiej Poradni Prawnej w sekcji prawa karnego. Aplikantka adwokacka w Izbie Adwokackiej w Katowicach.

Obecnie w trakcie odbywania studiów podyplomowych na Uniwersytecie Jagiellońskim w Krakowie w zakresie prawa karnego gospodarczego i karnegoskarbowego. Biegle włada językiem angielskim, posiada certyfikat języka prawniczego Toles Higher.   

Zobacz także
Administracyjne kary pieniężne - zasady nakładania i jak się od nich odwołać?
Administracyjne kary pieniężne - zasady nakładania i jak się od nich odwołać?
Administracyjne kary pieniężne są coraz częściej stosowanymi przez ustawodawcę sankcjami za naruszenie prawa, których dotkliwość niejednokrotnie przekracza tę związaną z wymierzeniem kary za...
Międzynarodowa pomoc prawna w sprawach karnych: Współpraca Polski i Zjednoczonych Emiratów Arabskich
Międzynarodowa pomoc prawna w sprawach karnych: Współpraca Polski i Zjednoczonych Emiratów Arabskich
Międzynarodowa współpraca w zakresie prawa karnego staje się coraz bardziej istotna, zwłaszcza w sprawach transgranicznych. Umowa o współpracy w sprawach karnych między Polską a Zjednoczonymi...
Newsletter
Bądź na bieżąco w obszarze prawa karnego dla biznesu
Zapisz się

Strona korzysta z plików cookie w celu realizacji usług zgodnie z Polityką Prywatności. Możesz samodzielnie określić warunki przechowywania lub dostępu plików cookie w Twojej przeglądarce.

Newsletter
Szybki kontakt