AuraHUB v1.0.0
Baza wiedzy

Kto naprawdę zarządza firmą w erze AI? I kto płaci, gdy błądzi?

Wyobraź sobie zarząd, który przez lata nie musiał się tłumaczyć z niczego, co robi algorytm. AI wyceniała nieruchomości, oceniała kandydatów do pracy, rozmawiała z klientami. Wygodne, szybkie, tanie. Do czasu, aż coś pójdzie nie tak – a wtedy okazuje się, że winnego trzeba znaleźć wśród ludzi, bo algorytm nie stanie przed sądem, nie zapłaci kary i nie straci pracy.

To jest sedno sprawy: sztuczna inteligencja nie ma osobowości prawnej. Nie da się jej pozwać. Każdy błąd systemu prędzej czy później wraca do konkretnych ludzi – do zarządu, do rady nadzorczej, czasem do samej spółki. Zmienia się tylko jedno: jak łatwo (albo jak trudno) będzie im się od tej odpowiedzialności odciąć.

Cztery historie warte zapamiętania

  • Air Canada. Linia lotnicza wpadła w tarapaty przez własnego chatbota, który błędnie poinformował pasażera o zasadach zniżki żałobnej. Prawnicy firmy próbowali w sądzie argumentu, że chatbot to „odrębny podmiot, odpowiedzialny za swoje działania”. Sędzia w kanadyjskim trybunale uznał to za twierdzenie „niezwykłe” i orzekł jasno: firma odpowiada za wszystko, co mówi jej strona internetowa – nieważne, czy to statyczny tekst, czy AI [1]. Innymi słowy: nie da się schować za technologią.

  • Zillow. Amerykański gigant nieruchomości przez lata skupował domy na podstawie automatycznej wyceny. Model nie nadążył za szalonym rynkiem covidowym. Efekt? Ponad pół miliarda dolarów strat, cała linia biznesowa zamknięta, co czwarty pracownik zwolniony [2]. To nie była wina „złego algorytmu” – to był brak realnego nadzoru nad tym, jak bardzo firma zaufała jego wynikom.

  • Amazon. Między 2014 a 2018 rokiem firma rozwijała narzędzie do automatycznej oceny CV. System sam się „nauczył”, że mężczyźni to lepsi kandydaci – bo taka była historia zatrudnień, na której go trenowano. Obniżał punktację CV zawierających słowo „kobiecy”. Zanim narzędzie trafiło do pełnego użytku, projekt po prostu porzucono [3]. Ale gdyby ktoś wdrożył je bez takiej refleksji – dziś byłby to case study w zupełnie innym artykule, tym o pozwach zbiorowych.

  • Nate Inc. To najbardziej „zarządowa” z tych historii. CEO startupu przekonywał inwestorów, że jego aplikacja zakupowa autonomicznie realizuje transakcje dzięki AI. W rzeczywistości za kulisami siedzieli ludzie – kontraktowi pracownicy na Filipinach i w Rumunii, ręcznie klikający zamówienia. Na tej podstawie pozyskał ponad 42 mln dolarów. W kwietniu 2025 r. SEC i amerykański Departament Sprawiedliwości oskarżyły go o oszustwo inwestycyjne [4]. To pierwszy głośny przypadek ścigania tzw. „AI-washingu” – i dowód na to, że odpowiedzialność potrafi trafić prosto w osobę zarządzającą, nie tylko w spółkę.

Prawo już się o to upomina – i to z kilku stron naraz

W Polsce, od 13 października 2022 r., mamy w Kodeksie spółek handlowych coś, co brzmi nudno, ale w praktyce jest bardzo istotne: business judgment rule (art. 293 § 3 i art. 483 § 3 k.s.h.) [5]. W skrócie: zarząd nie odpowiada za samą porażkę decyzji, jeśli podjął ją starannie – lojalnie wobec spółki, w granicach uzasadnionego ryzyka, na podstawie rzetelnych analiz. Problem w tym, że oddanie decyzji „czarnej skrzynce” bez udokumentowania, dlaczego się jej zaufano, działa dokładnie odwrotnie: zamiast chronić zarząd, obnaża brak staranności.

W Delaware – stanie, w którym zarejestrowana jest większość dużych amerykańskich spółek – funkcjonuje od 1996 r. doktryna Caremark: zarząd musi mieć realny system informowania o ryzykach i reagowania na „czerwone flagi” [6]. Sprawa Marchand v. Barnhill (2019 r., skażone listeriozą lody Blue Bell) pokazała, że brak jakiegokolwiek nadzoru nad kluczowym dla firmy ryzykiem to prosta droga do osobistej odpowiedzialności dyrektorów [7]. Prawnicy w USA już dziś piszą wprost: wdrożenie AI o istotnym znaczeniu dla firmy to takie samo „zdarzenie Caremark” jak bezpieczeństwo żywności czy cyberbezpieczeństwo.

A Unia Europejska? AI Act (rozporządzenie 2024/1689) wprowadza kary do 35 mln euro lub 7% globalnego obrotu za najpoważniejsze naruszenia [8]. I tu robi się ciekawie na naszym, polskim podwórku.

Polska ustawa o systemach sztucznej inteligencji. 11 czerwca 2026 r. Sejm uchwalił ustawę wdrażającą AI Act – powstanie Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI), nowy organ z uprawnieniami do kontroli i nakładania kar. [9]. Ciekawostka, którą warto znać: wcześniejsza wersja tego projektu przewidywała sztywną, kwotową karę – do 10 mln zł dla firm i do 1 mln zł dla osób fizycznych [10]. W finalnej wersji, którą przyjął Sejm, ten sztywny próg zastąpiono modelem procentowym, wzorowanym na RODO i AI Act. Innymi słowy: kara osobista „na sztywno” dla menedżera na razie zniknęła z tekstu ustawy – ale sam fakt, że ustawodawca w ogóle o niej myślał, pokazuje wyraźnie, w którą stronę zmierza regulacja.

I nie jest to myślenie odosobnione. Bo Polska już ma taki przepis – tylko nie w AI, a w cyberbezpieczeństwie. Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (wdrażająca unijną dyrektywę NIS2, w mocy od 3 kwietnia 2026 r.) wprost przewiduje karę osobistą dla „kierownika podmiotu” – czyli, po prostu dla zarządu spółki – w wysokości do 300% miesięcznego wynagrodzenia [11]. Tej odpowiedzialności nie da się oddelegować na dyrektora IT. Jeśli tak wygląda dziś regulacja cyberbezpieczeństwa, trudno zakładać, że AI na dłuższą metę pozostanie wyjątkiem.

A polisa D&O? Tu jest haczyk

Polisa D&O (Directors & Officers) ma chronić prywatny majątek zarządu przed skutkami błędnych decyzji – głównie pokrywając koszty obrony prawnej. Ale ma jedną, bardzo twardą granicę: nie obejmuje umyślnego działania ani oszustwa [12]. A dokładnie to zarzuca się CEO Nate Inc. – świadome wprowadzanie inwestorów w błąd. To scenariusz, w którym klasyczna polisa D&O po prostu nie zadziała.

Rynek ubezpieczeniowy już to widzi. Allianz Commercial w swoim raporcie na 2026 r. stawia AI obok cyberryzyka i niepewności geopolitycznej jako jeden z głównych czynników napędzających roszczenia wobec zarządów. Od marca 2020 r. w USA złożono 53 pozwy zbiorowe związane z AI, z czego 12 tylko w pierwszej połowie 2025 r. [13] Polscy eksperci ubezpieczeniowi zwracają uwagę na dokładnie ten sam mechanizm, który już znamy z cyberbezpieczeństwa: regulacja nakłada odpowiedzialność wprost na zarząd, a standardowa polisa D&O sfinansuje głównie obronę prawną – niekoniecznie samą karę administracyjną [14].

Co z tym zrobić, zanim zrobi to za nas pierwsza szkoda

  • Zapisuj, dlaczego zaufałeś algorytmowi, a nie tylko to, że go użyłeś. Business judgment rule chroni sposób podejmowania decyzji, ocenianej z perspektywy chwili, w której zapadła – nie z perspektywy już znanego wyniku.

  • Nadzór nad AI musi być prawdziwy, nie tylko zapisany w polityce firmowej. Poleganie na dostawcy technologii jest w porządku – dopóki nikt tego nie weryfikuje.

  • Uważaj na to, co mówisz o możliwościach AI inwestorom, klientom i regulatorom. Granica między marketingiem a wprowadzeniem w błąd jest cieńsza, niż się wydaje.

  • Sprawdź swoją polisę D&O pod kątem definicji „wrongful act” i wyłączeń związanych z AI – zanim zrobi to pierwszy pozew.

  • Śledź polską ustawę o AI i nowelizację KSC – to już nie są tematy na konferencje, tylko konkretne obowiązki nadzorcze zarządu.

Odpowiedź na pytanie z tytułu jest więc trochę otrzeźwiająca: firmą w erze AI wciąż zarządzają ludzie. Zmienia się tylko to, jak dokładnie będą musieli umieć się z tego rozliczyć.

#SztucznaInteligencja #OdpowiedzialnoscZarzadu #DandO #CorporateGovernance #KSH #PrawoSpolek #AIAct #ComplianceAI #BusinessJudgmentRule

#UbezpieczeniaDlaFirm #RyzykoKorporacyjne #ZarzadzanieRyzykiem #AIGovernance #BoardOfDirectors #LegalTech #RiskManagement

#SztucznaInteligencja #OdpowiedzialnoscZarzadu #D&O


Źródła

  1. Civil Resolution Tribunal of British Columbia, Moffatt v. Air Canada, 2024 BCCRT 149; American Bar Association, Business Law Today, „BC Tribunal Confirms Companies Remain Liable for Information Provided by AI Chatbot” (luty 2024).

  2. Zillow Group, Inc., Form 8-K, Q3 2021 (SEC EDGAR); insideAI News, „The $500mm+ Debacle at Zillow Offers” (grudzień 2021).

  3. J. Dastin, „Amazon scraps secret AI recruiting tool that showed bias against women”, Reuters, 10 października 2018.

  4. U.S. Securities and Exchange Commission, Litigation Release No. 26282, SEC v. Alberto Saniger Mantinan (11 kwietnia 2025); pozew w sprawie 1:25-cv-02937 (S.D.N.Y., 9 kwietnia 2025).

  5. Ustawa z dnia 9 lutego 2022 r. o zmianie ustawy – Kodeks spółek handlowych oraz niektórych innych ustaw (Dz.U. z 2022 r. poz. 807), art. 293 § 3 i art. 483 § 3 k.s.h.

  6. In re Caremark International Inc. Derivative Litigation, 698 A.2d 959 (Del. Ch. 1996); Stone v. Ritter, 911 A.2d 362 (Del. 2006).

  7. Marchand v. Barnhill, 212 A.3d 805 (Del. 2019).

  8. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 (AI Act).

  9. rp.pl, „Ustawa o AI przyjęta. Ma powstać specjalna komisja ds. sztucznej inteligencji” (aktualizacja 1 lipca 2026); Sejm RP, druk UC71.

  10. Polskie Towarzystwo Informatyczne, „Ustawa o systemach sztucznej inteligencji — co naprawdę uchwala Sejm i co to oznacza w praktyce” (kwiecień 2026).

  11. Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2026 r. poz. 252), art. 73a; wnp.pl, „Nowe obowiązki i nawet 100 mln zł kary. Potężna zmiana dla firm”.

  12. Warta, „Ubezpieczenie członków władz (D&O)”; Poradnik Przedsiębiorcy, „Polisa D&O dla prezesa i menedżerów – co warto wiedzieć?”.

  13. Allianz Commercial, „Directors and Officers (D&O) Insurance Insights 2026”.

  14. Infor.pl, wywiad z mec. Marcinem Huczkowskim (Fieldfisher Poland), „Zarząd ubezpieczony? Po cyberataku to może nie wystarczyć”.

© 2026 Aura Group