Pomiń nawigację

28 kwietnia 2026

Jak rozpoznać deepfake’i? Projekt Komisji Europejskiej dotyczący Kodeksu postępowania w zakresie przejrzystości treści generowanych przez AI

Udostępnij

Sztuczna inteligencja zmieniła sposób, w jaki są tworzone i konsumowane treści, w tym te cyfrowe. Narzędzia generatywnej sztucznej inteligencji potrafią szybko i naprawdę już na bardzo wysokim poziomie wytworzyć różne teksty, obrazy, wideo, audio, które są niemal nie do odróżnienia od materiałów stworzonych przez człowieka. Często bowiem trudno gołym okiem uchwycić to, co stworzyła maszyna od tego, co stworzył człowiek. Według raportu Deloitte z 2024 r. aż 59% badanych przyznało, że ma duże trudności w dostrzeżeniu tej różnicy[1].

Generatywna sztuczna inteligencja daje wiele możliwości, ale jednocześnie stwarza też dużo zagrożeń. Jednym z nich jest tzw. deepfake. Problem ten zostały już dostrzeżony przez Unię Europejską; w Akcie w sprawie sztucznej inteligencji (AI Act)[2] zostały wprowadzone regulacje dotyczące zjawiska deepfake. Przepisy AI Act w zakresie przejrzystości treści wygenerowanych przez sztuczną inteligencję wejdą w życie niebawem, to jest 2 sierpnia 2026 r. Ponadto Komisja Europejska w grudniu 2025 r. przedstawiła pierwszy projekt Kodeksu postępowania w zakresie przejrzystości treści generowanych przez AI (Code of Practice on Transparency of AI-Generated Content), a w marcu 2026 r. – jego drugą wersję[3]. Przedsiębiorcy powinni już teraz zacząć podejmować konkretne działania, aby przygotować się na nowe obowiązki.

Regulacja zapobiegająca szkodliwym skutkom deepfake i wprowadzająca konkretne obowiązki – art. 50 ust. 2 i 4 AI Act

Wspomniany już Akt w sprawie sztucznej inteligencji ustanawia obowiązki w zakresie przejrzystości skierowane do dostawców i podmiotów stosujących określone systemy AI. Zanim jednak przejdziemy do omawiania tych konkretnych zobowiązań i skutków ich niewykonania, warto podkreślić, że samo pojęcie deepfake zostało zdefiniowane w treści omawianego unijnego rozporządzenia.

Zgodnie z AI Act deepfake to wygenerowane przez AI lub zmanipulowane przez AI obrazy, treści dźwiękowe lub treści wideo, które przypominają istniejące osoby, przedmioty, miejsca, podmioty lub zdarzenia, które odbiorca mógłby niesłusznie uznać za autentyczne lub prawdziwe. Inaczej ujmując są to treści AI, których celem może być wprowadzenie w błąd odbiorców tych treści. W tym kontekście w AI Act wskazano, że wraz z systemami generującymi treści pojawiły się nowe ryzyka takie jak podawanie informacji wprowadzających w błąd (fake news), manipulacja na wysoką skalę, oszustwa, podszywanie się i wprowadzanie w błąd konsumentów (motyw 133 AI Act).

Artykuł 50 AI Act określa obowiązki w zakresie przejrzystości dla dostawców i podmiotów stosujących niektóre systemy sztucznej inteligencji. Warto podkreślić, że wymogi dotyczące przejrzystości dotyczą wszystkich systemów AI, bez rozróżnienia na poziom ryzyka, które wykazują.

Omawiane w ust. 2 art. 50 AI Act obowiązki dotyczą dostawców systemów AI, w tym systemów AI ogólnego zastosowania, generujących treści w postaci syntetycznych dźwięków, obrazów, wideo lub tekstu. Dostawcy systemów AI mają zapewnić, aby wyniki systemu AI zostały oznakowane w formacie nadającym się do odczytu maszynowego i były wykrywalne jako sztucznie wygenerowane lub zmanipulowane. Do obowiązków dostawców systemów AI należy zapewnienie skuteczności, interoperacyjności, solidności i niezawodności ich rozwiązań technicznych w zakresie, w jakim jest to technicznie wykonalne. Muszą uwzględnić przy tym specyfikę i ograniczenia różnych rodzajów treści, koszty wdrażania oraz powszechnie uznany stan wiedzy technicznej, co może być odzwierciedlone w odpowiednich normach technicznych. Dostawcy systemów AI to między innymi przedsiębiorcy lub organizacje, które rozwijają, budują lub wprowadzają na rynek system sztucznej inteligencji pod własną nazwą lub własnym znakiem towarowym. Przede wszystkim kategoria ta obejmuje popularnych dostawców generatywnych modeli AI takich jak OpenAI, Anthropic, dostawców narzędzi do generowania treści czy dostawców aplikacji opartych o AI.

Obowiązki dostawców systemów AI określone w ust. 2 art. 50 AI Act nie są stosowane w dwóch przypadkach, a mianowicie zakresie, w jakim:

  • systemy AI pełnią funkcję wspomagającą w zakresie standardowej edycji lub nie zmieniają w istotny sposób przekazywanych przez podmiot stosujący danych wejściowych lub ich semantyki,
  • jest to dozwolone na mocy prawa do celów wykrywania przestępstw, zapobiegania im, prowadzenia postępowań przygotowawczych w ich sprawie lub ścigania ich sprawców.

Obowiązki dostawców systemów AI zdefiniowane zostały już także w motywie 133 preambuły do AI Act. Jak wynika z jego treści, realizowanie obowiązków w postaci oznaczania treści sztucznie wygenerowanych lub zmanipulowanych może następować z uwzględnieniem dostępnych technik lub kombinacji takich technik, takich jak znaki wodne, identyfikacja metadanych, metody kryptograficzne służące do potwierdzania pochodzenia i autentyczności treści, metody rejestracji zdarzeń, odciski palców lub inne techniki, stosownie do przypadku.

Z kolei wymienione w ust. 4 art. 50 AI Act obowiązki dotyczą podmiotów stosujących system AI, który generuje obrazy, treści audio lub wideo stanowiące deepfake lub który manipuluje takimi obrazami lub treściami. Podmioty te mają obowiązek ujawniania, że treści te zostały sztucznie wygenerowane lub zmanipulowane. Są to osoby, organy publiczne, agencje lub inne podmioty, które wykorzystują system AI, nad którym sprawują kontrolę w ramach swojej działalności zawodowej. Mogą to być przykładowo przedsiębiorcy, agencje marketingowe, sprzedawcy e-commerce, dostawcy platform e-learningowych. Obowiązki nie dotyczą użytku osobistego, nieprofesjonalnego, co wynika z definicji podmiotów stosujących systemy AI. Zwracam jednak w tym miejscu uwagę, że granica takiego charakteru użytku może być niemal niedostrzegalna, zwłaszcza, jeśli deepfake’i publikowane są w mediach społecznościowych, gdzie docierają do bardzo szerokiej publiczności (tym bardziej jeśli taki użytkownik monetyzuje swoje treści).

Obowiązki podmiotów stosujących systemy AI nie mają zastosowania, jeżeli wykorzystywanie jest dozwolone na mocy prawa w celu wykrywania przestępstw, zapobiegania im, prowadzenia postępowań przygotowawczych w ich sprawie lub ścigania ich sprawców. Natomiast jeśli treść stanowi część pracy lub programu o wyraźnie artystycznym, twórczym, satyrycznym, fikcyjnym lub analogicznym charakterze obowiązki w zakresie przejrzystości ograniczają się do ujawnienia istnienia takich wygenerowanych lub zmanipulowanych treści w odpowiedni sposób, który nie utrudnia wyświetlania lub korzystania z utworu.

Ponadto, jak wynika z ust. 4 art. 50 AI Act podmioty stosujące system AI, który generuje tekst publikowany w celu informowania społeczeństwa o sprawach leżących w interesie publicznym lub manipuluje takim tekstem, mają obowiązek ujawnić, że tekst został sztucznie wygenerowany lub zmanipulowany. W tym wypadku znowu mamy dwa wyłączenia. Obowiązek ten nie ma zastosowania, jeśli:

  • wykorzystywanie jest dozwolone na mocy prawa w celu wykrywania przestępstw, zapobiegania im, prowadzenia postępowań przygotowawczych w ich sprawie lub ścigania ich sprawców lub
  • jeśli treści wygenerowane przez AI zostały poddane weryfikacji przez człowieka lub kontroli redakcyjnej i gdy za publikację treści odpowiedzialność redakcyjną ponosi osoba fizyczna lub prawna.

Należy nadmienić, że AI Act wymaga, aby informacje przekazywane przez dostawców systemów AI oraz podmioty stosujące systemy AI były przekazywane w jasny i wyraźny sposób i to najpóźniej w momencie pierwszej interakcji lub pierwszego stosowania oraz z uwzględnieniem mających zastosowanie wymogów dostępności. Istotne jest także, że obowiązki te dotyczą też dostawców i podmiotów spoza Unii Europejskiej, jeśli wyniki wytworzone przez system AI są wykorzystywane w Unii.

W jaki sposób ujawniać pochodzenie treści generowanych przez AI?

Akt w sprawie sztucznej inteligencji nie daje wprost odpowiedzi na to, w jaki sposób ujawniać treści deepfake, aby sprostać wskazanym obowiązkom. W tym zakresie Komisja Europejska pracuje nad Kodeksem postępowania w zakresie przejrzystości treści generowanych przez AI, który miałby być możliwy do stosowania, gdy większość przepisów AI Act wejdzie w życie w sierpniu 2026 roku. Kodeks ma charakter dobrowolny, jednak logicznym jest, że podmioty, które nie będą stosować się do jego wymogów, mogą być surowiej traktowane w przypadku kontroli.

Prace prowadzone są przez dwie wyspecjalizowane Grupy Robocze, pierwsza skupia się na obowiązkach dostawców systemów AI, a druga na obowiązkach podmiotów stosujących systemy AI. Ponieważ prace nie dobiegły jeszcze końca, a wymogi wskazane w drugiej wersji Kodeksu zostały złagodzone, przedstawiam generalne założenia dostępne na tym etapie, zakładając, że ostateczna wersja Kodeksu po kolejnych konsultacjach może mieć inne brzmienie.

Kluczowym ustaleniem w zakresie obowiązków przewidzianych dla dostawców systemów AI, jakie wynikają z prac nad Kodeksem, jest to, że pojedyncza technika znakowania nie będzie wystarczająca do spełnienia czterech wymogów stawianym dostawcom systemów AI; chodzi o skuteczność, interoperacyjność, odporność i niezawodność. Kodeks zakłada więc wielowarstwowe znakowanie treści, które oznacza łączenie kilku różnych technik. W zakresie technik znakowania odczytywalnych maszynowo wyróżnia:

  • podpisane cyfrowo metadane;
  • niewidzialny znak wodny wpleciony w treść;
  • mechanizmy fingerprintingu lub logowania – jako opcjonalny środek uzupełniający.

Kodeks zabrania usuwania znakowania możliwego do odczytania maszynowo oraz zachęca sygnatariuszy Kodeksu do stosowania standardów pochodzenia zapewniających informacje o łańcuchu pochodzenia treści AI. Zalecane informacje obejmują identyfikator systemu AI i modelu bazowego, numer wersji, nazwę dostawcy AI oraz znacznik czasu. Zachęca się też dostawców do wbudowania opcji, która pozwala podmiotom wdrażającym systemy AI na dodanie widocznej etykiety przy generowaniu treści.

Proponuje się również wprowadzenie zobowiązania dla dostawców systemów AI w zakresie detekcji oznaczeń. Oznacza to konieczność udostępnienia bezpłatnego interfejsu do weryfikacji, czy treść została wygenerowana przez ich system AI (w API lub w UI). Opcjonalnie zachęca się też do współpracy z Komisją i badaczami w zakresie detektorów forensycznych, które wykrywają treści AI nawet po usunięciu z nich oznaczeń. Wyniki weryfikacji muszą być zrozumiałe dla wszystkich, wskazywać metodę detekcji i poziom pewności wyniku, wymagana jest też zgodność z wymogami dostępności. Sygnatariusze Kodeksu zachęcani są także do zapewnienia, aby dokumentacja przeznaczona dla osób nieposiadających specjalistycznej wiedzy oraz inne istotne informacje (bez tajemnic handlowych) były udostępniane podmiotom stosującym systemy AI i innym użytkownikom w celu wspierania ich w podejmowaniu świadomych decyzji dotyczących tego, jakie mechanizmy znakowania i wykrywania mogą stosować, w tym poprzez pomoc w zrozumieniu, jak uzyskać dostęp do mechanizmów wykrywania i jak je stosować, a także jak interpretować dane dotyczące pochodzenia i wyniki wykrywania.

Jakie środki stosować, aby ujawniać deepfake’i?

Dla podmiotów stosujących systemy AI druga Grupa Robocza przedstawiła wymogi w zakresie ujawniania deepfake’ów i tekstów sztucznej inteligencji. Przede wszystkim wprowadzono wymogi projektowe dla ikon i etykiet oraz wyjaśnień. Muszą one zawierać akronim „AI” jako główny element wizualny, ewentualnie z dookreśleniem typu „Generated with AI”, „Made by AI”, „Manipulated with AI”, a wymagany kontrast to 4,5:1 do tła. W przypadku treści audio przewiduje się krótkie słyszalne oświadczenie w języku naturalnym; uwzględniono też wymogi dostępności.

Wymogi w zakresie umiejscowienia ikon lub etykiet lub dźwięku w materiałach zawierających deepfake są różne w zależności od formatu:

  • wideo na żywo ((w tym transmisje telewizyjne na żywo lub transmisje internetowe na żywo) – ikona wyświetlana ma być stale lub wideo ma zawierać oświadczenie na początku i w regularnych odstępach;
  • wideo już nagrane – jeśli są to krótkie filmy, to ikona ma być widoczna cały czas, gdy długie, ma być na początku, a następnie powtarzana;
  • obrazy – ikona ma być widoczna za każdym razem i być wyraźnie odróżnialna od samego obrazu;
  • audio krótsze niż 30 sekund – oświadczenie ma znaleźć się na początku, jeśli dłuższe to ma być powtarzane na początku, w trakcie i na końcu.

Projekt Kodeksu wprowadza wspólną ikonę UE jako opcjonalną, chociaż prace nad rozwojem jej warstw są dopiero przewidziane. Niemniej jednak takie rozwiązanie można ocenić pozytywnie, gdyż ułatwia to wykonanie obowiązków informacyjnych w zakresie deepfake.

Obowiązki organizacyjne dla dostawców systemów AI i podmiotów stosujących systemy AI

Oprócz wymogów stricte technicznego znakowania treści projekt Kodeksu przewiduje także obowiązki organizacyjne jako takie. Dzielą się one na obowiązki dotyczące dostawców i podmiotów stosujących systemy AI.

Ci pierwsi muszą opracować i aktualizować ramy zgodności, które opisują procesy znakowania i detekcji wraz ze stosowną dokumentacją. Dostawcy zobowiązani będą także do regularnego testowania rozwiązań w warunkach rzeczywistych, wdrażania adaptacyjnego modelowania zagrożeń oraz prowadzenia dokumentacji działań naprawczych. Do tego dochodzi obowiązek szkoleń personelu, który zajmuje się projektowaniem i rozwojem systemu AI. Ponadto są to obowiązki współpracy z organami nadzoru rynku, udostępniania informacji oraz dostępu do systemu AI poprzez bezpieczne kanały.

Z kolei podmioty stosujące mają obowiązek ustanowienia dokumentacji wewnętrznej, która określa sposób realizacji obowiązków ujawniania deepfake’ów i tekstów AI. Kodeks przewiduje obowiązek zapewnienia świadomości obowiązków ujawniania wśród personelu zaangażowanego w etykietowanie treści i zachęca do prowadzenia szkoleń. Sygnatariusze zachęcani są do umożliwienia osobom trzecim zgłaszania błędnie lub nieoznaczonych treści, a zgłoszone przypadki muszą być weryfikowane i naprawiane bez zbędnej zwłoki. Podmioty regularnie tworzące treści deepfake będą musiały zapewnić odpowiedni nadzór nad prawidłowym stosowaniem obowiązków etykietowania.

To wszystko powodować będzie dodatkowe koszty, czas i zasoby przedsiębiorców, jednak jest niezbędne.

Co obowiązki w zakresie przejrzystości treści generowanych lub zmanipulowanych przez AI oznaczają dla przedsiębiorców?

Zbliżające się wejście w życie przepisów AI Act w zakresie obowiązków przejrzystości treści generowanych lub zmanipulowanych przez AI mają bardzo konkretne i szerokie przełożenie na sytuację przedsiębiorców w wielu branżach. Niezależnie od samych obowiązków oznaczania treści, wprowadzone zostają też obowiązki organizacyjne i dokumentacyjne, co przekłada się siłą rzeczy na konieczność przeznaczenia dodatkowych środków na wdrożenie tych wymogów. Do tego dochodzi jeszcze ryzyko kar finansowych przewidzianych w AI Act za nieprzestrzeganie obowiązków informacyjnych z art. 50 AI Act. Są one liczone w milionach lub odpowiednich % globalnego rocznego obrotu przedsiębiorcy (do 15 mln euro lub do 3% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa).

Jeśli przedsiębiorca wykorzystuje systemy AI do tworzenia lub modyfikowania treści stanowiących deepfake musi ujawnić odbiorcom sztuczne pochodzenie bądź zmanipulowanie treści. Dla branży marketingowej, reklamowej, PR oznacza to, że przykładowo agencje tworzące kampanie z wykorzystaniem generatywnej sztucznej inteligencji będą musiały oznaczać każdy taki materiał, o ile materiał stanowi deepfake. Materiały szkoleniowe, czy filmy zawierające deepfake, które udostępniane są na zewnątrz danej organizacji lub do jej pracowników będą musiały zostać odpowiednio oznaczone jako sztucznie wygenerowane lub zmanipulowane. W przypadku publikowania materiałów w popularnych platformach typu Instagram, TikTok również będzie potrzeba oznaczania i to niezależnie od tego, czy platforma tego sama nakazuje lub posiada własne mechanizmy oznaczania.

W przypadku branż takich jak wydawnicza, gdy treści wygenerowane przez AI zostały poddane weryfikacji przez człowieka lub kontroli redakcyjnej, a za publikację treści odpowiedzialność redakcyjną ponosi osoba fizyczna lub prawna, może zachodzić wyjątek od obowiązku ujawniania. Należy odpowiednio udokumentować fakt takiej weryfikacji, kto ponosi odpowiedzialność redakcyjną, a także jakie środki zapewniają ludzką weryfikację przed publikacją.

Niezależnie od samych obowiązków w zakresie przejrzystości należy dodać, że takie oznaczenie treści może mieć znaczenie dla praw własności intelektualnej i praktyk konkurencji. Oznaczenie treści sugerować bowiem będzie, że jest ona stworzona przez sztuczną inteligencję, co może przełożyć się na przyjęcie, że nie jest chroniona przez prawo autorskie – w zależności oczywiście od konkretnego przypadku. W takiej sytuacji przedsiębiorca traci szerszy wachlarz roszczeń, jaki mógłby posiadać, jeśli tworzone przez niego treści objęte byłyby ochroną prawnoautorską. Może to też wzmagać działania konkurencji, która mogłaby posunąć się do wykorzystywania takich materiałów bez zgody przedsiębiorcy i ewentualnej ochrony trzeba byłoby poszukiwać wtedy na podstawie innych przepisów.

Poza obowiązkami wynikającymi z art. 50 ust. 2 i ust. 4 AI Act warto pamiętać, że rozpowszechnianie deepfake’ów może spowodować między innymi odpowiedzialność za naruszenie dóbr osobistych i wizerunku innych osób, prowadzić do odpowiedzialności cywilnoprawnej, a nie wykluczone, że nawet karnej.

Marta Lampart

radca prawny, pełnomocnik przed EUIPO. Specjalizuje się głównie w prawie własności intelektualnej, w tym w prawie autorskim i własności przemysłowej, prawie ochrony danych oraz prawnych aspektach sztucznej inteligencji. Pasjonują ją szczególnie zagadnienia techniczne i prawne związane z funkcjonowaniem sztucznej inteligencji (AI), nowe technologie oraz szeroko rozumiane prawo własności intelektualnej.

[1] M. Steinhart, B. Matheson, A. Dhameja, G. Crossan, Deepfake disruption: A cybersecurity-scale challenge and its far-reaching consequences, 19.11.2024 r., https://www.deloitte.com/us/en/insights/industry/technology/technology-media-and-telecom-predictions/2025/gen-ai-trust-standards.html [dostęp: 16.03.2026 r.].

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji) (Tekst mający znaczenie dla EOG), Dz. Urz. UE L, 2024/1689, 12.7.2024.

[3] European Commission, Commission publishes second draft of Code of Practice on Marking and Labelling of AI-generated content, 5.03.2026, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-second-draft-code-practice-marking-and-labelling-ai-generated-content [dostęp: 16.03.2026 r.].