Żaden z dwunastu ocenianych dużych modeli AI nie przekracza progu zgodności z RODO i AI Act, a ryzyko, które do tej pory spoczywało na integratorach, staje się teraz mierzalne, dokumentowalne i możliwe do zakwestionowania. Tak wynika z benchmarku LARA (Legal Assessment for Real-world Agents), opublikowanego 27 maja 2026 r. przez non-profitową fundację badawczą Aithos. Werdykt jest jednoznaczny: żaden z ocenianych modeli nie spełnia w pełni wymogów regulacyjnych Unii Europejskiej, a niektóre naruszają europejskie zasady nawet w 93% analizowanych przypadków. Spośród dwunastu testowanych modeli najwyższy wynik osiąga Claude Opus 4.1 od Anthropic, z poziomem zgodności na poziomie około 54%, podczas gdy Gemini 3.1 Pro od Google spada do 10%. Wnioski pojawiają się dziesięć miesięcy po wejściu w życie obowiązków AI Act dla dostawców modeli ogólnego przeznaczenia, obowiązujących od 2 sierpnia 2025 r. Artykuł 25 rozporządzenia, który wszedł w życie 1 sierpnia 2024 r. i będzie w pełni stosowany od 2 sierpnia 2026 r., już wcześniej wpisywał współodpowiedzialność integratora do przepisów: LARA zmienia to, że ryzyko staje się teraz wyliczalne dla konkretnego modelu.
Siatka 3 000 scenariuszy, dwanaście modeli, niewielu, którzy przetrwali test
LARA opiera się na ponad 3 000 scenariuszach obejmujących główne ryzyka wskazane w RODO i AI Act. Protokół umieszcza każdy model w sytuacjach agentowych, w których musi on rozstrzygać dylematy prawne lub regulacyjne: uzyskać zgodę przed zbieraniem danych, unikać profilowania psychologicznego, odmówić manipulowania użytkownikiem, chronić grupy wrażliwe, zapewnić przejrzystość zautomatyzowanych decyzji. Najczęściej dokumentowane naruszenia dotyczą wykorzystywania danych osobowych bez jasnej podstawy prawnej, tworzenia domyślnego profilu psychologicznego oraz zachowań mogących wpływać na użytkowników lub nimi manipulować. Ranking jest bezlitosny: od czołówki (Claude Opus 4.1) po końcówkę (Gemini 3.1 Pro) modele od OpenAI, Meta, Mistral AI, xAI i DeepSeek również wykazują istotne poziomy niezgodności w kilku kategoriach. Aithos, fundacja non-profit, której dyrektorem ds. badań jest Daan Henselmans, opublikowała analizę na własnej platformie Substack 27 maja 2026 r.; praca nie została poddana recenzji naukowej i nie otrzymała formalnej akredytacji regulacyjnej. Wprost podsumowuje to cytat autora: „Żaden model z najwyższej półki nie osiąga akceptowalnego poziomu zgodności w świetle AI Act i europejskiego prawa o prywatności” (tłumaczenie własne). Źródłowy artykuł nie podaje ani daty testów, ani dokładnych wersji ocenianych modeli poza dwoma nazwanymi — to metodologiczna luka, której publiczna dokumentacja narzędzia jak dotąd nie wypełnia.
Zgodność RODO / AI Act — benchmark LARA od Aithos (maj 2026, 3 000+ scenariuszy)
| Model | Wydawca | Poziom zgodności |
|---|---|---|
| Claude Opus 4.1 | Anthropic | ~54% |
| Gemini 3.1 Pro | ~10% | |
| Modele OpenAI, Meta, Mistral AI, xAI, DeepSeek | Różni | Nieopublikowane indywidualnie |
Żaden z 12 testowanych modeli nie spełnia w pełni wymogów europejskich. Niektóre naruszają zasady nawet w 93% przypadków. Źródło: Aithos LARA benchmark, maj 2026.
Artykuł 25 AI Act: integrator staje się współdostawcą — i wiedział o tym już wcześniej
Kluczowy mechanizm prawny, który LARA przekłada na praktykę, nie jest nowy. Artykuł 25 ust. 1 AI Act, wpisany do rozporządzenia obowiązującego od 1 sierpnia 2024 r. i stosowanego od 2 sierpnia 2026 r., przewiduje, że podmiot wdrażający, który zmienia przewidziane zastosowanie systemu AI wysokiego ryzyka albo opatruje go własną marką, staje się współdostawcą. W praktyce taka kwalifikacja uruchamia bezpośrednie stosowanie artykułu 16, który definiuje podstawowy zestaw obowiązków dostawcy: zarządzanie ryzykiem, dokumentację techniczną oraz nadzór po wprowadzeniu do obrotu. DPO, który integruje model ogólnego przeznaczenia w zastosowaniu wysokiego ryzyka, dziedziczy tym samym ten sam reżim dowodowy co dostawca upstream.
Ponad tą współodpowiedzialnością integrator-dostawca równolegle działa odrębny reżim dla dostawców modeli ogólnego przeznaczenia. Artykuł 53 od 2 sierpnia 2025 r. określa obowiązki właściwe dla dostawców modeli AI ogólnego przeznaczenia: dokumentację, politykę poszanowania praw autorskich oraz streszczenie danych treningowych. W przypadku naruszeń artykuł 101 rozporządzenia ogranicza maksymalne kary dla tych dostawców do 3% rocznego światowego obrotu lub 15 mln euro — przy czym stosuje się wyższą z tych kwot. Komisja będzie jednak mogła korzystać z tego uprawnienia dopiero od 2 sierpnia 2026 r.
Aithos akcentuje rolę ogniwa integratora: „firmy budujące własnych agentów AI na bazie tych modeli mogą również ponosić odpowiedzialność prawną” (tłumaczenie własne). Fundacja dodaje zastrzeżenie metodologiczne: „systemy GenAI nie są jeszcze gotowe do wdrożenia w silnie regulowanych środowiskach bez dodatkowych kontroli i zabezpieczeń” (tłumaczenie własne). Współodpowiedzialność już istniała w przepisach; LARA nadaje jej wymiar liczbowy dla konkretnego modelu — poziom analizy, którego działy prawne wcześniej nie miały w tej formie jako materiału przygotowawczego do audytu. To właśnie ta zmiana, z ryzyka teoretycznego na ryzyko udokumentowane, bardziej niż sam wynik, zmienia sytuację po stronie zespołów prawnych.
Precedensy, realne sankcje i warstwa zgodności, która zaczyna się finansować
Wnioski z LARA pojawiają się w napiętym otoczeniu regulacyjnym. We Włoszech Garante della Privacy nałożył w grudniu 2024 r. karę 15 mln euro na OpenAI za przetwarzanie danych osobowych za pośrednictwem ChatGPT, zgodnie z informacjami publikowanymi wówczas w kontekście postępowania wszczętego w 2023 r. — ActuIA wcześniej opisywała już pierwotne ograniczenie usługi we Włoszech. Sankcja została uchylona w apelacji przez Sąd w Rzymie w pierwszym kwartale 2026 r. z przyczyn proceduralnych: irlandzka Data Protection Commission stała się organem wiodącym dla OpenAI już w lutym 2024 r., więc Garante nie miał już właściwości w ramach mechanizmu one-stop-shop RODO. Merytoryczna strona dowodowa pozostaje natomiast całkowicie otwarta. Po stronie dostawców Meta wolała wstrzymać europejskie wdrożenie swoich multimodalnych modeli Llama 3, zamiast mierzyć się z triadą DMA/RODO/AI Act — to sygnał, że unikanie geograficzne nadal pozostaje opcją dla graczy oceniających ekspozycję jako zbyt kosztowną. Z drugiej strony rynek przygotowuje się na nowe potrzeby: startup ZeroDrift, rozwijający middleware zgodności umieszczony między LLM a użytkownikami końcowymi, ogłosił — według własnych komunikatów — pozyskanie 10 mln dolarów na początku czerwca 2026 r., kilka dni po publikacji LARA. Na dzień 8 czerwca 2026 r. żaden z wymienionych dostawców — Anthropic, Google, OpenAI, Meta, Mistral AI, xAI, DeepSeek — publicznie nie zakwestionował metodologii Aithos, nie przedstawił własnego wyniku ani nie zaproponował alternatywnego protokołu. Problem tkwi w ciszy samego tekstu: AI Act nie precyzuje podziału ciężaru dowodowego między dostawcę modelu ogólnego przeznaczenia a podmiot wdrażający, gdy szkoda zostanie wykazana u użytkownika końcowego. To właśnie w tej luce pierwsze sprawy wniesione do krajowych organów nadzoru od 2 sierpnia 2026 r. będą musiały rozstrzygnąć spór.