# MateMatic - Architektura AI dla kancelarii prawnych > Suwerenne środowiska danych, agenci dziedzinowi z nadzorem merytorycznym, > zgodność z EU AI Act i tajemnicą adwokacką. Specjalizacja: polskie kancelarie > wdrażające AI w warunkach regulacyjnych UE. Prior tempore, potior iure. MateMatic Solutions Sp. z o.o. - matematicsolutions.com - założyciel: Wiesław Mazur. Zakres: audyt gotowości, projekt architektury, wdrożenie agentów AI z human-in-the-loop. Obszar: Polska i UE. Ramy: EU AI Act, RODO, NIST AI RMF, ISO/IEC 42001, kodeks etyki zawodów prawniczych. ## Strony główne - [MateMatic - oferta i metodologia](https://matematicsolutions.com/): trzy kroki - Audyt Rzetelności, Projekt Architektury, Wdrożenie Agentów. ROI calculator, FAQ. - [Akademia](https://matematicsolutions.com/akademia.html): hub edukacyjny MateMatic w czterech filarach - Szkolenia (niebawem), Praxis - przewodniki praktyczne (otwarte, 3 pozycje), Aktualności (otwarte), Baza Wiedzy (otwarte, 61 tomów). Punkt wejścia do uporządkowanej wiedzy o AI dla kancelarii. - [Szkolenia](https://matematicsolutions.com/szkolenia.html): katalog modułów szkoleniowych - [Praxis - przewodniki Akademii](https://matematicsolutions.com/akademia/przewodniki.html): Praxis to linia przewodników praktycznych MateMatic w dwóch formatach - żywe mapy z search i filtrami (PX/01 LegalTech AI 2026, PX/02 100 promptów do Claude) oraz proceduralne podręczniki krok po kroku z artefaktami do pobrania (PX/03 Stack zero-cloud). Otwarte, darmowe, rozwijane z uwagami czytelników. Trzy zasady: aktywne nie statyczne / subiektywne nie obiektywne / żywe nie zamrożone. - [PX/03 - Stack zero-cloud dla kancelarii](https://matematicsolutions.com/akademia/px03-stack-zero-cloud.html): pierwszy podręcznik proceduralny linii Praxis. Siedem modułów krok po kroku - jak złożyć stack sześciu narzędzi open source (gogcli backup, Chandra OCR, noScribe transkrypcja, DocuSeal e-podpis, Obsidian/AppFlowy + Cline) tak, by dane nie opuszczały serwera kancelarii. Zgodność z RODO art. 32, tajemnicą zawodową i AI Act. Interaktywne checklisty, 7 artefaktów do pobrania (tabela ryzyka SaaS vs self-host, wzór klauzuli zgody, harmonogram migracji 30/60/90 dni). Darmowy, otwarty. - [Przewodnik 1 - Polski LegalTech AI 2026 (mapa żywa)](https://matematicsolutions.com/akademia/legaltech-mapa-2026.html): aktywny dashboard z 19 narzędziami AI dla polskich kancelarii w 8 kategoriach (research orzecznictwa, analiza umów, obieg dokumentów, asystent prawnika, compliance i RegTech, negocjacje i ugody, e-discovery, bazy z warstwą AI). Filtry: kategoria, pochodzenie (PL/zagraniczne/zagraniczne z polską obsługą), status MateMatic (obserwowane/do testów/wzmianka). Każde narzędzie z rozwijalnym komentarzem MateMatic. Sekcja "Bezpieczeństwo, RODO i AI Act - jak czytać tę mapę" (5 pytań audytowych) plus changelog. Wersja 1.0 - aktualne na 5 maja 2026, dorzucamy z rynku na bieżąco. - [Przewodnik 2 - 100 promptów do Claude dla kancelarii](https://matematicsolutions.com/akademia/100-promptow-do-claude.html): biblioteka 100 promptów (slash commands) w 10 kategoriach pracy prawniczej (dokument, myślenie i analiza, research, strategia, pisanie i styl, komunikacja, nauka, produktywność, tworzenie, kod). Hybrydowe kody PL+EN, wyszukiwarka, kopiowanie 1-klikiem, PDF do pobrania. Trzy zasady używania (źródła + governance + weryfikacja). Każdy prompt z kontekstem kiedy stosować a kiedy nie. Aktualne na 5 maja 2026. - [Baza Wiedzy](https://matematicsolutions.com/baza-wiedzy.html): biblioteka recenzji badań, raportów i praktyk wdrożeniowych AI w sektorze prawnym - [Słownik pojęć (Definicje)](https://matematicsolutions.com/baza-wiedzy/definicje.html): glosariusz 23 kluczowych pojęć - EU AI Act, compound regime, tajemnica adwokacka, HITL, DPIA, NIST AI RMF, choice-supportive bias LLM, hypersensitivity to contradiction, OUCS, two-stage paradigm, self-consistency preservation - [Kontakt](https://matematicsolutions.com/kontakt.html): adres email kontakt@matematic.co, dane spółki (KRS 0001176750, NIP 9452311849, ul. Wysoka 5 Kraków), kanały LinkedIn i YouTube. ContactPage z ContactPoint schema (customer support, sales). - [Tematy - mapa krzyżowa Bazy Wiedzy](https://matematicsolutions.com/baza-wiedzy/tematy.html): osiem tematów strategicznych z mapowaniem 37 tomów - Verification Stack v1→v2→v3, Audyt dostawców LegalTech (5 pytań), Compliance i governance regulacyjne, Mapa ryzyk AI, AI w sądzie i postępowaniu procesowym, Halucynacje i biasy LLM, Bezpieczeństwo i prywatność, Polska perspektywa - [Aktualności](https://matematicsolutions.com/aktualnosci.html): teksty bieżące autorstwa Wiesława Mazura - [100 promptów do Claude](https://matematicsolutions.com/akademia/100-promptow-do-claude.html): pełna lista 100 promptów w 10 kategoriach, hybrydowe kody PL+EN, wyszukiwarka, kopiowanie 1-klikiem, PDF do pobrania (część Przewodników Akademii MateMatic) ## Aktualności - [Kirkland & Ellis buduje własną AI za 500 mln USD: „build, not buy" przestało być przywilejem megafirmy](https://matematicsolutions.com/aktualnosci/2026-05-29-kirkland-ellis-500m-wlasna-ai-build-vs-buy.html): 2026-05-29. Komentarz MateMatic do Financial Times (Kaye Wiggins, Suzi Ring, 28 maja 2026). CO TO JEST: Kirkland & Ellis, najwyżej zarabiająca kancelaria świata (ponad 9 mld USD przychodu w 2025), ogłosiła wydatek 500 mln USD w ciągu trzech do czterech lat (ponad 100 mln w samym 2026, finansowane z własnych zysków) na zbudowanie własnościowej platformy AI obsługującej zlecenie od początku do końca. Cel w słowach prezesa zarządu Jona Ballisa: „weźmiemy zbiorową inteligencję naszej instytucji i wdrożymy ją w całej firmie" oraz „nie wynajmują nas za podstawę". Buduje to 180 specjalistów technicznych przy udziale 250 prawników (w tym 100 partnerów). Software pozostanie własnością kancelarii, dostawcy zewnętrzni pomagają budować bez prawa odsprzedaży. Wydatek jest dodatkiem do dalszego licencjonowania narzędzi zewnętrznych, nie ich zamiennikiem. To jawny kontrast do większości BigLaw, która wybrała gotowe produkty (Harvey, Legora); Freshfields zawiązał partnerstwo z Anthropic, Cleary Gottlieb przejął Springbok w marcu 2025. TEZA MATEMATIC: prawdziwą historią nie jest kwota, lecz wybór struktury własności - kto kontroluje model znający firmę i gdzie leżą jej dane. Ten motyw governance (własność modelu, dane u siebie) jest osiągalny bez budżetu megafirmy: open source uruchamiany lokalnie (np. polski Bielik na własnej maszynie) daje ten sam efekt za ułamek kosztu, różnica leży tylko w skali kapitału. TRZY WNIOSKI DLA POLSKIEJ KANCELARII: (1) własność modelu i lokalność danych są osiągalne bez 500 mln USD - open source lokalnie nie wysyła danych nigdzie; (2) powierzenie przetwarzania do vendora AI to decyzja RODO (art. 28 - umowa powierzenia, lokalizacja danych, ryzyko transferu poza EOG), a dla danych objętych tajemnicą zawodową (art. 6 prawa o adwokaturze, art. 3 ustawy o radcach prawnych) pytanie „gdzie fizycznie leży dokument" staje się obowiązkiem; (3) wybór „mieć vs kupić" trzeba udokumentować - AI Act nakłada na podmiot stosujący system wysokiego ryzyka (deployera, art. 26 rozporządzenia 2024/1689) obowiązki nadzoru i użytkowania zgodnie z instrukcją dostawcy. UCZCIWE ZASTRZEŻENIE: polska kancelaria średniej wielkości nie zbuduje platformy za 500 mln USD; transfer dotyczy motywu (suwerenność danych i wiedzy), nie metody ani skali. CO ROBI MATEMATIC: audyt zależności od dostawców AI (do których narzędzi trafiają dane spraw, gdzie leżą, co jest objęte umową powierzenia i tajemnicą zawodową) i budowa Konstytucji AI ze świadomą decyzją „build vs buy" dla każdej klasy danych. Pillary: Decyzja jako jednostka pracy + stack zero-cloud. Interpretacja MateMatic, nie stanowisko PUODO, NRA ani KRRP. Cross-reference: Aktualność 28.05.2026 (PATRON Desktop pilotaż), Aktualność 20.05.2026 (pięć MCP w open source), Aktualność 18.05.2026 (BetterCallMitch - szwajcarski produkt z otwartego kodu), Aktualność 18.05.2026 (SuzieLaw - otwarty Harvey z podmianą modelu). Autor: Wiesław Mazur - MateMatic. - [PATRON Desktop wchodzi w pilotaż: narzędzie dla kancelarii, które trzyma akta na Twoim komputerze](https://matematicsolutions.com/aktualnosci/2026-05-28-patron-desktop-pilotaz-zaproszenie.html): 2026-05-28. Zaproszenie MateMatic do pilotażu PATRON Desktop wraz z ankietą zgłoszeniową testera. CO TO JEST: aplikacja desktopowa dla polskich kancelarii oparta na AI i otwartym kodzie, w której dokumenty, OCR, przeszukiwalna baza i pamięć sprawy działają lokalnie. Silnik AI wybiera sam użytkownik - od modelu na własnej maszynie (np. Bielik), przy którym nic nie opuszcza komputera, po dziesiątki modeli chmurowych przez OpenRouter. Przyjmuje załączniki w każdym formacie bez limitu rozmiaru i liczby, wciąga całe foldery spraw, rozumie akta jako całość, zapamiętuje sprawy i uczy się sposobu pracy użytkownika, współpracuje z Wordem w obie strony i łączy się z polskimi źródłami prawa (orzecznictwo, ISAP, KRS, EUR-Lex). Zgłoszenia przez krótką ankietę sprawdzającą wymagania sprzętowe i prawne. TEZA MATEMATIC: kancelaria nie musi wybierać między użytecznością AI a kontrolą nad danymi - architektura lokalna daje obie naraz. CO ROBI MATEMATIC: prowadzi pilotaż produktu i zbiera zgłoszenia testerów. Pillary: Decyzja jako jednostka pracy + stack zero-cloud. Cross-reference: Aktualność 29.05.2026 (Kirkland & Ellis build vs buy), Aktualność 20.05.2026 (pięć MCP w open source, Patron w pilocie od czerwca). Autor: Wiesław Mazur - MateMatic. - [Porównanie bije rubrykę: Stanford i Harvey publikują pierwszy publiczny benchmark dwóch metod oceny AI w prawie](https://matematicsolutions.com/aktualnosci/2026-05-27-judgmentbench-rubric-vs-preference-stanford.html): 2026-05-27. Komentarz MateMatic do pracy JudgmentBench (arXiv, 24 maja 2026). CO TO JEST: zespół Stanford Law (Julian Nyarko i in.), Snorkel AI oraz Harvey opublikował pierwszy publiczny zbiór danych, w którym te same wyniki modeli AI są równocześnie ocenione dwiema dominującymi metodami: rubryką punktową i porównaniem parami. Próbka: 30 zadań z BigLaw Bench Harvey'a (redagowanie odpowiedzi na pozew, kontrargumenty w summary judgment, due diligence, klauzule indemnifikacyjne, prawo stanowe Delaware), 1539 ocen rubrycznych i 1530 ocen porównawczych od 51 praktykujących prawników (mediana 10 lat doświadczenia), ekwiwalent 242 godzin pracy o wartości 242 000 USD. KLUCZOWA LICZBA: porównania parami odtwarzają skonstruowany ranking jakości znacznie lepiej niż rubryki (Spearman 0.908 vs 0.150 - rubryka statystycznie nieodróżnialna od szumu) przy mniej niż połowie czasu (1.92 min vs 4.74 min na zadanie); efekt utrzymuje się dla ludzi i dla autograderów LLM. TEZA MATEMATIC: jeśli kancelaria audytuje jakość pracy modelu AI rubrykami, traci większość sygnału; porównanie parami jest tańsze i celniejsze, ale niesie własne kompromisy. CZTERY WNIOSKI: (1) audyt jakości rubryką jest słabszy niż się zakłada; (2) rubryka pozostaje wartościowa do diagnozy per-kryterium (kontrola błędów, halucynacji sygnatur), nie do oceny ogólnej; (3) AI Act art. 15 wymaga „appropriate levels of accuracy" - wybór metodologii pomiaru sam jest decyzją governance, którą trzeba udokumentować; (4) wiedzę milczącą partnera lepiej oddają porównania niż checklisty (fundament RLHF i DPO). ZASTRZEŻENIA AUTORÓW: porównanie zwija się do pojedynczego rankingu (rubryka mówi dlaczego, porównanie tylko który); jakość była indukowana promptem, nie naturalna; to U.S. BigLaw przy stawce 1000 USD/h, nie polska kancelaria średnia. CO ROBI MATEMATIC: audyt jakości AI (jakimi metodami kancelaria dziś ocenia wyniki modeli, gdzie pomiar zaniża sygnał) i Konstytucja AI z polityką pomiaru jakości oraz ścieżką audytu zgodną z art. 15 AI Act. Pillary: Decyzja jako jednostka pracy + stack zero-cloud. Interpretacja MateMatic, nie stanowisko PUODO, NRA ani KRRP. Cross-reference: Aktualność 22.05.2026 (Watchdog - AI w administracji), Aktualność 20.05.2026 (pięć MCP w open source), Aktualność 13.05.2026 (Claude for Legal Industry), TOM Bazy Wiedzy (MIT - czego governance AI nie mierzy). Autor: Wiesław Mazur - MateMatic. - [W polskiej administracji AI już pracuje, a zasad korzystania z niej praktycznie nie ma](https://matematicsolutions.com/aktualnosci/2026-05-22-watchdog-ai-administracja-rejestr-zasady.html): 2026-05-22. Komentarz MateMatic do raportu Sieci Obywatelskiej Watchdog Polska „AI w administracji" (publikacja 18 maja 2026). CO TO JEST: organizacja pozarządowa zajmująca się przejrzystością administracji rozesłała latem 2025 5480 wniosków o informację publiczną, odpowiedziało 74% instytucji; 9% jednostek zadeklarowało korzystanie z AI (transkrypcja, chatboty, diagnostyka medyczna, analityka danych) z dużymi różnicami między typami instytucji - 34% miast powiatowych, 20% organów centralnych, 14% starostw. KLUCZOWA LICZBA: tylko około 20 gmin z ponad 2000 ma wewnętrzne zasady korzystania ze sztucznej inteligencji. Część instytucji odmówiła ujawnienia, jak używa AI, powołując się na tajemnicę i bezpieczeństwo. Postulaty raportu: jawny rejestr zastosowań AI, obowiązek informowania obywateli, wewnętrzne polityki bezpieczeństwa, mechanizmy niezależnej kontroli. TEZA MATEMATIC: brak wewnętrznej polityki AI nie jest neutralny - to nieudokumentowane ryzyko, które ujawnia się dopiero przy kontroli albo incydencie, i dotyczy każdej organizacji przetwarzającej dane wrażliwe, w tym kancelarii. CZTERY LINIE POLSKIEGO COMPLIANCE: (1) RODO - brak polityki to brak udokumentowanej podstawy i zasad przetwarzania (art. 6 i art. 9 przy danych szczególnych kategorii), w razie kontroli PUODO administrator nie ma czym wykazać legalności, a ciężar dowodu leży po jego stronie; (2) rozliczalność (art. 5 ust. 2 RODO) - administrator ma obowiązek wykazać zgodność, rejestr zastosowań AI to operacyjna forma rozliczalności; (3) EU AI Act - Załącznik III wymienia systemy wspierające dostęp do usług publicznych i wymiar sprawiedliwości jako wysokiego ryzyka, bez inwentaryzacji nie da się ustalić, które systemy podlegają rygorom art. 26; (4) tajemnica zawodowa (art. 6 prawa o adwokaturze, art. 3 ustawy o radcach prawnych) - zasłona „bezpieczeństwo" jest podwójnie ryzykowna, tajemnica chroni klienta, a nie brak procedury. CO ROBI MATEMATIC: audyt gotowości (inwentaryzacja użyć AI plus ocena luk wobec RODO, AI Act i tajemnicy zawodowej) i budowa Konstytucji AI - spisanego, własnego zestawu zasad korzystania z AI z imienną odpowiedzialnością, dokumentu, którego raport nie znalazł w niemal żadnej gminie. Pillary: Decyzja jako jednostka pracy + stack zero-cloud. Interpretacja MateMatic, nie stanowisko PUODO, NRA ani KRRP. Cross-reference: Aktualność 19.05.2026 (KE wytyczne klasyfikacja AI wysokiego ryzyka), Aktualność 18.05.2026 (AI Act co obowiązuje co mit), TOM Bazy Wiedzy (Alan Turing Institute - etyka AI dla urzędnika), TOM Bazy Wiedzy (MIT - czego governance AI nie mierzy). Autor: Wiesław Mazur - MateMatic. - [Otwieramy polskie prawo dla agentów AI: pięć serwerów MCP w open source, Patron w pilocie od czerwca](https://matematicsolutions.com/aktualnosci/2026-05-20-mcp-polskie-prawo-patron-open-source.html): 2026-05-20. Aktualność MateMatic o publikacji pięciu konektorów Model Context Protocol do otwartych źródeł polskiego i unijnego prawa oraz otwarciu repo agenta Patron. CO TO JEST: pięć osobnych serwerów MCP na licencji MIT w organizacji matematicsolutions na GitHub - mcp-saos (orzecznictwo Sądu Najwyższego, Trybunału Konstytucyjnego i sądów powszechnych przez API SAOS Fundacji ePaństwo), mcp-nsa (NSA i 16 Wojewódzkich Sądów Administracyjnych przez CBOSA - tu mieszka większość polskich rozstrzygnięć RODO, podatkowych i administracyjnych), mcp-isap (Dziennik Ustaw, Monitor Polski i jednolite teksty ustaw przez Sejm ELI - 96 000+ aktów polskiego prawa od 1918 roku), mcp-krs (skład zarządu, reprezentacja, wyszukiwanie po nazwie lub numerze KRS przez darmowe oficjalne API Ministerstwa Sprawiedliwości), mcp-eu-sparql (prawo Unii Europejskiej: EUR-Lex, orzecznictwo CJEU, identyfikatory ECLI i CELEX przez Publications Office SPARQL i Cellar). Zero kosztów dostępu do źródła - to publiczne API rządowe i unijne. RÓWNOLEGLE: otwarte repo agenta Patron - lokalnego, RODO-safe asystenta dla polskich kancelarii na licencji AGPL-3.0, hard fork projektu willchen96/mike, w pełni self-host (żadnych danych w chmurze MateMatic), bring-your-own-model (kancelaria sama wybiera dostawcę LLM), z audit trailem hash-chain SHA-256 zgodnym z AI Act art. 12. Pierwszy pilot kancelaryjny ruszy w czerwcu 2026. FILTR TRZYFILAROWY MATEMATIC: bierzemy pięć konektorów MCP - są gotowe, przetestowane na żywym API, na licencji MIT, można je wpiąć w produkt komercyjny, wewnętrzne narzędzie kancelarii albo darmowy projekt bez pytania o zgodę; flagujemy Patrona w fazie pre-launch - repo publiczne, ale produkt celuje w pierwszą pilotową kancelarię w czerwcu 2026, do tego momentu zaproszenie do oceny architektury i kodu, jeszcze nie do wdrożenia produkcyjnego; nie endorsujemy żadnego konkretnego modelu LLM - Patron jest bring-your-own-model, kancelaria sama wybiera, czy podpina Gemini, OpenAI, lokalny model Llama, czy polskiego dostawcę z certyfikatem ISO i polską jurysdykcją. CZTERY LINIE POLSKIEGO COMPLIANCE: (1) konektory MCP są procesami uruchamianymi lokalnie u klienta MCP, nie przekazują danych sprawy do MateMatic, nie ma nas w łańcuchu sub-processorów; (2) Patron z założenia self-host - stack zero-cloud (Supabase własny, MinIO zamiast Cloudflare R2, SMTP zamiast Resend), dane sprawy nie opuszczają perymetru kancelarii; (3) każde wywołanie narzędzia w Patronie zapisuje się w audit trail z łańcuchem hashy SHA-256 - bezpośrednia realizacja AI Act art. 12 (logowanie automatyczne, integralność, możliwość rekonstrukcji), komenda npm run audit:verify sprawdza spójność łańcucha; (4) AGPL-3.0 dla powłoki Patrona oznacza, że jeśli ktoś zrobi z niego SaaS, ma obowiązek opublikować modyfikacje - zabezpieczenie dla kancelarii (przejrzystość) i dla całego polskiego LegalTechu (kod wraca do społeczności), konektory MIT mają inny reżim (można je wpinać w produkty zamknięte, bo to infrastruktura dostępu do źródeł). CO ROBI MATEMATIC: warsztaty wdrożeniowe dla zarządu kancelarii oparte na Konstytucji AI Patrona (dokument governance + plan 6-8 tygodni do produkcji); audyt architektury legal-AI z perspektywy zero-cloud i AI Act art. 12 (mapa sub-processorów, ocena gdzie żyją dane sprawy, rekomendacja zmian); konsultacje na poziomie kodu dla zespołów IT integrujących konektory MCP. Pillary: Decyzja jako jednostka pracy + Stack zero-cloud. Cross-reference: Aktualność 19.05.2026 (BetterCallMitch - szwajcarski produkt z otwartego kodu), Aktualność 18.05.2026 (AI Act co obowiązuje co mit), Aktualność 18.05.2026 (Trzy repozytoria legal AI z otwartym kodem). Autor: Wiesław Mazur - MateMatic. - [Komisja Europejska: projekt wytycznych - jak rozpoznać system AI wysokiego ryzyka](https://matematicsolutions.com/aktualnosci/2026-05-19-ke-wytyczne-klasyfikacja-ai-wysokiego-ryzyka.html): 2026-05-19. Aktualność MateMatic o projekcie wytycznych Komisji Europejskiej do artykułu 6 AI Act (rozporządzenie UE 2024/1689), opublikowanym 19 maja 2026 na portalu Shaping Europe's digital future. CO TO JEST: dokument tłumaczący, kiedy system AI jest systemem wysokiego ryzyka; rozporządzenie nakazywało wydać go do 2 lutego 2026, więc wychodzi z opóźnieniem i jako projekt poddany ukierunkowanym konsultacjom przed przyjęciem wersji finalnej. STRUKTURA: osiem obszarów Załącznika III (biometria, infrastruktura krytyczna, edukacja i szkolenie zawodowe, zatrudnienie i zarządzanie pracownikami, dostęp do podstawowych usług prywatnych i publicznych, ściganie przestępstw, migracja i kontrola graniczna, wymiar sprawiedliwości i procesy demokratyczne); wysokiego ryzyka jest nie cały obszar, tylko wymieniony konkretny przypadek użycia; lista przypadków wyczerpująca, zmiana wyłącznie aktem delegowanym; klasyfikacja jako wysokie ryzyko nie oznacza zakazu, tylko zestaw obowiązków (zarządzanie ryzykiem, jakość danych, dokumentacja, rejestrowanie zdarzeń, przejrzystość, nadzór człowieka, dokładność, cyberbezpieczeństwo); mechanizm filtra z artykułu 6 ustęp 3 - cztery rozłączne warunki, które mogą wyłączyć system spod reżimu (wąskie zadanie proceduralne, poprawa wyniku zakończonej pracy człowieka, wykrywanie wzorców decyzyjnych, zadanie przygotowawcze); profilowanie osób fizycznych w rozumieniu RODO czyni system zawsze wysokiego ryzyka i wyłącza filtr; o skorzystaniu z filtra decyduje samoocena dostawcy z obowiązkiem rejestracji. FILTR TRZYFILAROWY MATEMATIC: bierzemy wytyczne jako narzędzie robocze do klasyfikacji (lista przypadków z przykładami, przeszukiwalna platforma informacyjna AI Act); flagujemy wyjątek profilowania (najczęstsze miejsce, w którym pozornie wąski system wpada w wysokie ryzyko) oraz status projektu poddanego konsultacjom (brzmienie może się zmienić); nie rekomendujemy traktowania samooceny z artykułu 6 ustęp 3 jako formalności ani odkładania klasyfikacji do grudnia 2027. CZTERY LINIE POLSKIEGO COMPLIANCE: (1) klasyfikacja to czynność udokumentowana, nie wrażenie - samoocena bez zapisanego rozumowania jest dla organu nadzoru materiałem do podważenia; (2) profilowanie zamyka drogę do filtra - to pierwszy test przed sięgnięciem po którykolwiek z czterech warunków; (3) system w większej całości, w tym system agentowy, nie chowa się za filtrem - klasyfikuje się przeznaczenie i miejsce w całości; (4) termin to nie urlop - uzgodnione w Digital Omnibus przesunięcie obowiązków Załącznika III na 2 grudnia 2027 daje czas na przygotowanie, nie na zwłokę. CO ROBI MATEMATIC: klasyfikacja systemów AI pod kątem artykułu 6 - inwentaryzacja narzędzi, które kancelaria stosuje albo dostarcza, przypisanie do przypadków Załącznika III, ocena mechanizmu filtra, udokumentowana samoocena; deliverable to rejestr systemów AI z klasą ryzyka i uzasadnieniem dla każdego wpisu. Pillary: Decyzja jako jednostka pracy + Stack zero-cloud. Cross-reference: Aktualność 18.05.2026 (AI Act co obowiązuje co mit), Aktualność 13.05.2026 (Claude for the legal industry), Aktualność 19.05.2026 (BetterCallMitch). Autor: Wiesław Mazur - MateMatic. - [BetterCallMitch - Szwajcaria złożyła z otwartego kodu krajowy produkt prawniczy](https://matematicsolutions.com/aktualnosci/2026-05-19-bettercallmitch-szwajcarski-produkt-z-otwartego-kodu.html): 2026-05-19. Aktualność MateMatic o BetterCallMitch (repozytorium fedec65/bettercallmitch, licencja AGPL-3.0), otwartym agencie prawniczym złożonym pod szwajcarski rynek przez Federico Cesconiego (założyciel sandsiv+). CO TO JEST: fork projektu willchen96/mike (Mike OSS) z dołożoną warstwą krajową - zestawem szwajcarskich konektorów do oficjalnych źródeł prawa (orzecznictwo sądów federalnych i kantonalnych, baza legislacji Fedlex, weryfikacja cytatów, wsparcie redagowania pism); autor mówi w zapowiedzi o dziewięciu konektorach, publiczna dokumentacja repozytorium opisuje siedem zdalnych serwerów MCP. Model wymienny (Claude, Gemini, Ollama), tryb ściśle prywatny wymusza model lokalny, stack Next.js/Express/Supabase. TEZA: powłoka czatu jest dziś towarem, produktem jest warstwa krajowa - konektory do lokalnych źródeł prawa; BetterCallMitch to pierwszy w tym ekosystemie produkt legal AI przypisany do konkretnego kraju, a warstwy krajowej dla Polski jeszcze nie ma. FILTR TRZYFILAROWY MATEMATIC: bierzemy wzorzec (otwarty korzeń plus własna warstwa krajowa plus self-host plus kontrola modelu = stack zero-cloud); flagujemy licencję AGPL-3.0 jako copyleft sieciowy i decyzję o modelu biznesowym oraz hostowany Supabase wobec obietnicy perymetru; nie rekomendujemy traktowania BetterCallMitch jako gotowego narzędzia dla polskiej kancelarii (konektory szwajcarskie, brak ISAP, SAOS, KRS) ani forka i wdrożenia bez audytu licencji, architektury danych i obowiązków AI Act. CZTERY LINIE POLSKIEGO COMPLIANCE: (1) AGPL-3.0 to decyzja o modelu biznesowym - fork udostępniany przez sieć zobowiązuje do otwarcia własnych modyfikacji; (2) hostowany Supabase to powierzenie przetwarzania w rozumieniu artykułu 28 RODO, obietnicę perymetru domyka dopiero samodzielny hosting; (3) szwajcarskie konektory nie przenoszą się przez granicę - polskie ISAP, SAOS, KRS ktoś musi zbudować; (4) fork wdrożony pod marką kancelarii to rola dostawcy w rozumieniu AI Act. CO ROBI MATEMATIC: pracuje nad polskim odpowiednikiem - otwartym, RODO-safe agentem prawniczym, którego rdzeniem są konektory do polskich źródeł prawa; pierwszy element już działa (otwarty dostęp do legislacji UE i orzecznictwa TSUE przez EUR-Lex z weryfikowalnymi cytatami); projekt w modelu otwartym, zaproszenie do współtworzenia. Niezależnie - audyt narzędzia AI dla kancelarii, deliverable to jednostronicowa karta ryzyka. Pillary: Decyzja jako jednostka pracy + Stack zero-cloud. Cross-reference: Aktualność 18.05.2026 (Suzie Law), Aktualność 18.05.2026 (Trzy otwarte repozytoria legal AI), Aktualność 13.05.2026 (Claude for the legal industry), Aktualność 18.05.2026 (AI Act co obowiązuje co mit). Autor: Wiesław Mazur - MateMatic. - [Suzie Law - otwarty odpowiednik Harvey, w którym podmieniasz model pod siebie](https://matematicsolutions.com/aktualnosci/2026-05-18-suzielaw-otwarty-harvey-podmiana-modelu.html): 2026-05-18. Aktualność MateMatic o Suzie Law (repozytorium firelex/suzielaw, licencja MIT, utworzone 26 kwietnia 2026), otwartym workspace prawniczym wzorowanym na Harvey, czwartym repozytorium legal AI opisanym w maju 2026 po rodzinie AGPL mike/donna/eumike. CO TO JEST: asystent czatu Counsel, 12 person praktyki (litigation, M&A, capital markets, arbitraż, antitrust, prawo pracy, IP, ochrona danych, prawo nieruchomości, podatki i dalej), biblioteka ponad 160 gotowych procesów pracy, przegląd dokumentów z odpowiedziami opartymi na cytatach, redagowanie pism z eksportem do .docx, redline ze śledzeniem zmian w formacie Worda, opcjonalna baza wiedzy RAG. WYSZUKIWANIE PRAWA: zunifikowany interfejs sięgający do 22 oficjalnych źródeł pierwotnych w 19 jurysdykcjach (CourtListener i eCFR dla USA, legislation.gov.uk i Find Case Law dla UK, EUR-Lex i CURIA dla UE, Légifrance i Judilibre dla Francji, gesetze-im-internet i OpenLegalData dla Niemiec i dalej), każda odpowiedź z klikalnymi odnośnikami do dokumentu źródłowego. WYBÓR MODELU (rdzeń narzędzia): selektor z pięcioma pozycjami - trzy modele w chmurze (Claude Sonnet 4.6, GPT-5.5, Qwen 3.6-Plus) i dwa lokalne (Qwen 3.6-35B, Gemma 4-26B), tryb własnego klucza dostawcy; kancelaria może postawić system na modelu na własnym serwerze. RÓŻNICE: licencja MIT zamiast AGPL-3.0, osobny rodowód (platforma Team Suzie, firelex/open_teamsuzie); wobec Claude for the legal industry autor pozycjonuje Suzie Law jako narzędzie tej samej klasy z większą swobodą, bo warstwę modelu można wymienić, a fork zamknąć jako własną platformę. FILTR TRZYFILAROWY MATEMATIC: bierzemy podmianę modelu jako realną ścieżkę (pięć modeli, dwa lokalne - model na serwerze kancelarii oznacza, że treść objęta tajemnicą nie opuszcza infrastruktury) oraz dyscyplinę cytatów; flagujemy wersję hostowaną suzielaw.com działającą przez prywatne konto chmurowe autora, domyślny model poza EOG, włączone obejście logowania w przykładowym pliku konfiguracyjnym, rozliczanie płatności dopiero dodawane, brak polskiego źródła krajowego, młody projekt na świeżej platformie Team Suzie; nie rekomendujemy wersji hostowanej do materiału klienckiego, traktowania "alternatywa dla Harvey" jako zamiany jeden do jednego (to baza startowa, nie zweryfikowany produkt), forka i wdrożenia bez audytu licencji, architektury danych i obowiązków AI Act. CZTERY LINIE POLSKIEGO COMPLIANCE: (1) MIT to decyzja prawna w drugą stronę niż AGPL - pozwala zamknąć fork jako produkt własnościowy, ale fork plus podmiana modelu plus wdrożenie pod marką kancelarii wprowadza ją w rolę dostawcy w rozumieniu artykułu 25 AI Act, z cięższym zestawem obowiązków; (2) wersja hostowana nie jest dla materiału objętego tajemnicą zawodową - prywatne konto chmurowe autora i domyślny model poza EOG, bez umowy powierzenia z artykułu 28 RODO i bez podstawy transferu z artykułu 44; (3) podmiana modelu to decyzja o przepływie danych - dopiero model lokalny (Qwen lub Gemma na serwerze kancelarii) sprawia, że dokument nie opuszcza infrastruktury; (4) wyszukiwanie prawa nie obejmuje Polski - EUR-Lex i CURIA tak, ISAP i SAOS nie, polskie prawo krajowe trzeba sprawdzić w osobnym oficjalnym źródle. CO MATEMATIC WNOSI: audyt narzędzia AI dla kancelarii - ocena otwartego repozytorium pod kątem licencji, architektury przepływu danych, zgodności z RODO i tajemnicą zawodową; deliverable to jednostronicowa karta ryzyka narzędzia. Pillary: Decyzja jako jednostka pracy + Stack zero-cloud. Cross-reference: Aktualność 18.05.2026 (Trzy otwarte repozytoria legal AI - rodzina AGPL), Aktualność 13.05.2026 (Claude for the legal industry), Aktualność 13.05.2026 (Legal Data Hunter), Aktualność 18.05.2026 (AI Act co obowiązuje co mit). Autor: Wiesław Mazur - MateMatic. - [Trzy otwarte repozytoria legal AI, które dopasowujesz pod siebie](https://matematicsolutions.com/aktualnosci/2026-05-18-trzy-repozytoria-legal-ai-otwarty-kod.html): 2026-05-18. Aktualność MateMatic - przegląd trzech otwartych repozytoriów legal AI powstałych w maju 2026, kontynuacja artykułu Wiesława Mazura na LinkedIn o repozytoriach mike i donna. TRZY REPOZYTORIA: mike (willchen96/mike) - otwarta platforma legal AI Willa Chena, byłego prawnika Latham & Watkins; asystent, przegląd tabelaryczny, powtarzalne procesy pracy; deklarowany rdzeń funkcji aplikacji webowej Harvey; powstanie 29 kwietnia 2026, ponad 3000 gwiazdek na GitHub i około 900 forków na 18.05.2026; licencja AGPL-3.0; architektura Next.js, Express, Supabase, magazyn zgodny z Cloudflare R2. donna (chiefofstaff-legal/donna) - otwarty silnik orkiestracji delegowanych decyzji; każda delegowana decyzja zapisywana jako podpisany, odporny na manipulację rekord (kto, na jakiej podstawie, z którym modelem AI, kiedy); rdzeń około 200 linii Pythona z biblioteki standardowej bez zależności; status alfa, powstanie 11 maja 2026, AGPL-3.0; stawia decyzję, nie dokument i nie czat, jako pierwszorzędny obiekt. eumike (lucianschw-dev/eumike) - fork mike autorstwa Luciana Schwartza-Crofta, utworzony 16 maja 2026, siedemnaście dni po premierze mike; cztery narzędzia pobierające akty i orzecznictwo UE na żywo z EUR-Lex po numerze CELEX, sygnaturze ECLI i adresie ELI, plus weryfikacja cytatów; działa przez serwer w standardzie Model Context Protocol; 24 języki urzędowe UE; cel - ugruntować odpowiedzi w realnych dokumentach źródłowych, żeby model nie generował nieistniejącego orzecznictwa Trybunału Sprawiedliwości UE. TEZA: otwarty kod daje kancelarii trzecią opcję między drogim zamkniętym SaaS a budową narzędzia od zera - działającą bazę, którą można dopasować pod własną jurysdykcję i architekturę danych; eumike pokazuje, że dopasowanie jurysdykcyjne zajmuje kilkanaście dni, nie kwartały. FILTR TRZYFILAROWY MATEMATIC: bierzemy wzorzec - otwarty kod legal AI można przeczytać, sprawdzić, sforkować i postawić lokalnie, a mechanizm eumike da się powtórzyć pod orzecznictwo polskich sądów albo bazę ISAP; flagujemy AGPL-3.0 jako copyleft z klauzulą sieciową, weryfikację cytatów jako ograniczenie nie eliminację halucynacji, domyślną konfigurację mike i eumike zakładającą Supabase i Cloudflare R2 (chmura, nie zero-cloud), donna w statusie alfa; nie rekomendujemy wdrożenia żadnego repozytorium produkcyjnie bez audytu licencji, architektury danych i mapy ryzyka. CZTERY LINIE POLSKIEGO COMPLIANCE: (1) AGPL-3.0 to decyzja prawna - klauzula sieciowa wymaga udostępnienia kodu modyfikacji udostępnianych przez sieć; (2) weryfikacja cytatów nie jest gwarancją - model nadal może błędnie zinterpretować poprawnie pobrany tekst; (3) self-hostable to nie domyślnie self-hosted - domyślny Supabase i R2 to powierzenie przetwarzania w rozumieniu artykułu 28 RODO i potencjalny transfer poza EOG (artykuł 44 i kolejne); (4) tajemnica zawodowa zaczyna się przy konfiguracji - dopiero lokalna baza, lokalny magazyn plików i lokalny lub europejski model decydują, czy materiał nie opuszcza kontroli kancelarii. CO MATEMATIC WNOSI: audyt narzędzia AI dla kancelarii - ocena otwartego repozytorium lub wtyczki pod kątem licencji, architektury przepływu danych, zgodności z RODO i tajemnicą zawodową; deliverable to jednostronicowa karta ryzyka narzędzia. Pillary: Decyzja jako jednostka pracy + Stack zero-cloud. Cross-reference: Aktualność 13.05.2026 (Legal Data Hunter), Aktualność 13.05.2026 (Claude for the legal industry), Aktualność 18.05.2026 (AI Act co obowiązuje co mit). Autor: Wiesław Mazur - MateMatic. - [AI Act w połowie 2026: co już obowiązuje, co dopiero uzgodniono, a co jest mitem](https://matematicsolutions.com/aktualnosci/2026-05-18-ai-act-2026-co-obowiazuje-co-mit.html): 2026-05-18. Aktualność MateMatic porządkująca stan prawny AI Act w połowie 2026 roku w trzech warstwach - co obowiązuje, co dopiero uzgodniono, co jest mitem. CO JUŻ OBOWIĄZUJE: AI Act wszedł w życie 1 sierpnia 2024; od 2 lutego 2025 obowiązuje zakaz praktyk niedopuszczalnych (scoring społeczny, nieukierunkowane zbieranie wizerunków twarzy do baz rozpoznawania); od 2 sierpnia 2026 obowiązki przejrzystości z artykułu 50 (informowanie, że użytkownik rozmawia z systemem AI, oznaczanie treści generowanych przez AI), przy czym sam techniczny obowiązek znakowania treści syntetycznych z artykułu 50 ustęp 2 dostał w negocjacjach Digital Omnibus wąski dodatkowy okres przejściowy. CO DOPIERO UZGODNIONO: Komisja Europejska 19 listopada 2025 przedstawiła pakiet Digital Omnibus; 7 maja 2026 Rada i Parlament Europejski osiągnęły wstępne porozumienie o przesunięciu obowiązków dla systemów wysokiego ryzyka - załącznik III na 2 grudnia 2027, załącznik I na 2 sierpnia 2028; to wstępne porozumienie przed formalnym przyjęciem spodziewanym do sierpnia 2026, więc pierwotne terminy formalnie wciąż obowiązują - poprawnie mówić "uzgodniono przesunięcie", nie "przesunięto". CO JEST MITEM: obiegowe zdanie, że ramy przesyłu danych osobowych UE-USA upadły pod koniec 2025, jest nieprawdą - 3 września 2025 Sąd Unii Europejskiej oddalił skargę i utrzymał w mocy Data Privacy Framework; odwołanie do Trybunału Sprawiedliwości UE złożone 31 października 2025 jest w toku, ale ramy obowiązują i transfer danych na ich podstawie jest legalny; ramy bywały unieważniane dwukrotnie, w 2015 i 2020 roku, ale "bywały unieważniane" to nie to samo co "upadły teraz". TEZA: dla kancelarii i działów compliance rozróżnienie obowiązuje/uzgodniono/mit to różnica między rzetelną poradą a paniką albo fałszywym poczuciem bezpieczeństwa. CO MATEMATIC WNOSI: audyt "Mapa zgodności AI dla kancelarii" - jednostronicowa mapa obowiązków AI Act i RODO z datami wejścia w życie, lista narzędzi AI w użyciu z przypisanym poziomem ryzyka, rejestr decyzji do podjęcia. Pillary: Decyzja jako jednostka pracy + Stack zero-cloud. Cross-reference: Aktualność 7.05.2026 (EU AI Act Omnibus przesunięcie terminów), Aktualność 6.05.2026 (EDPB szablon DPIA), Aktualność 13.05.2026 (Claude for the legal industry). Autor: Wiesław Mazur - MateMatic. - [Legal Data Hunter wchodzi do connector marketplace Anthropic. Open-source projekt sprzed trzech miesięcy dostarcza Claude 31 mln dokumentów prawnych w 160+ jurysdykcjach.](https://matematicsolutions.com/aktualnosci/2026-05-13-legal-data-hunter-anthropic-partnerstwo.html): 2026-05-13. Komentarz operacyjny MateMatic do partnerstwa Legal Data Hunter (LDH) z Anthropic ogłoszonego 12 maja 2026 przez Zacharie Laïka (CEO Goodlegal, Station F, maintainer LDH; post LinkedIn z 235 reakcjami i 43 komentarzami). DRUGA AKTUALNOŚĆ TEGO SAMEGO DNIA - komplementarna do pierwszej (Claude for the legal industry), bo LDH siedzi w wykazie 20+ konektorów MCP launchu Anthropic, w kategorii Legal research obok Midpage i Trellis. KONSTRUKCJA PROJEKTU: open-source na GitHub (repozytoria worldwidelaw/legal-sources i ZachLaik/legal-data-pipeline), frontend Leaflet.js + GeoJSON z mapą pokrycia, dashboard statusu źródeł per kraj z czterema stanami (complete / planned / blocked / requires maintenance), dane przez status.json. Cytat założycielski Laïka: "law worldwide belongs to everyone and an AI agent could somehow collect it into a single omni-jurisdictional database". SKALA: 31 milionów dokumentów prawnych, 160+ jurysdykcji, 1100+ open-source skryptów zbierających źródła publiczne, około 3 miesiące od pierwszego commitu do partnerstwa (data deklarowana przez założyciela). ANTHROPIC TEAM KURATORUJĄCY: Mark Pike (ten sam, który koordynował Claude for legal industry), Hadley Mouritzen, Cameron Barnes. INTEGRACJA: plug-in w connector marketplace Claude bez konfiguracji custom MCP - user dodaje przez marketplace, autoryzuje, korzysta z poziomu claude.ai, Claude Code i Cowork. DRUGI SYGNAŁ FAKTOGRAFICZNY: 31 mln dokumentów w 160+ jurysdykcjach to dokładnie ta sama liczba, którą Anthropic w blogu Claude for the legal industry przypisuje pozycji "Legal research corpus" - to korpus LDH; Free Law Project, też podpięty jako konektor, dostarcza osobno największy publiczny dataset US trial court (LDH globalna szerokość, Free Law Project głębokość US). TRZYFILAROWY FILTR MATEMATIC: bierzemy 1100+ open-source skryptów jako zaproszenie do roli jurisdiction lead Polska (maintainerski tag "Become a Lead" na stronie LDH explicite - kancelaria z głębokim know-how o krajowych źródłach SAOS, ISAP, RCL, eKRS, MSiG, dziennikach urzędowych ministerstw może objąć patronat nad polską jurysdykcją; ruch wolny od vendor lock-in - LDH pozostaje OSS niezależnie od partnerstwa), connector w marketplace Claude (adoption nie wymaga budowy custom MCP - plugin Litigation Legal albo Privacy Legal z dzisiejszego launchu Anthropic może wywoływać LDH jako research backend), tempo OSS jako sygnał kierunkowy (granularność per jurysdykcja i per typ źródła, nie monolityczny pipeline - mechanika do podpatrzenia dla kancelarii budującej własną mini-bazę wiedzy); flagujemy polską jurysdykcję do sprawdzenia w status.json (jeśli "planned" lub "blocked" - kancelaria nie ma dziś polskiego korpusu, ma deklarację), 31 mln jako liczbę globalną nie deklarację głębokości per jurysdykcja (średnio ok. 194 tys. dokumentów per kraj, średnia myli - USA i UE prawdopodobnie ciężko, Polska może mieć dramatycznie mniej), LDH agreguje a nie waliduje (skrypty polegają na stabilności źródła zewnętrznego - gdy SAOS zmienia format, LDH ma stary snapshot dopóki kontrybutor nie zaktualizuje skryptu; do pism procesowych zawsze weryfikacja bezpośrednio w oficjalnym źródle), tajemnicę zawodową i prompt-flow przez konektor (każdy konektor MCP rozszerza powierzchnię, na której fakty klienta opuszczają środowisko kancelarii - interpretacja MateMatic, nie stanowisko NRA ani KRRP); NIE ENDORSUJEMY tezy "31 mln dokumentów to globalne autorytatywne źródło dla prawnika" (LDH dostarcza ilość, jakość wymaga walidacji per jurysdykcja, per typ źródła, per granularność daty i wersji), tezy "podpinamy LDH i kancelaria ma globalny research stack" (konektor LDH siedzi obok Westlaw, LexisNexis, CURIA, EUR-Lex i obok SAOS, ISAP, eKRS - nie zastępuje żadnego z nich, jest dodatkową warstwą wstępnego przeglądu). CZTERY LINIE POLSKIEGO COMPLIANCE OFFICERA: (1) RODO art. 28 i tajemnica zawodowa - LDH jest trzecim podmiotem w architekturze obok kancelarii i Anthropic, DPA musi pokryć łańcuch kancelaria → Anthropic → LDH, sprawdzenie warunków LDH jako podmiotu dalej powierzającego przetwarzanie po stronie Anthropic obowiązkowe przed wdrożeniem; (2) walidacja pokrycia PL przed deploymentem na żywych sprawach - pobierz dashboard statusu, sprawdź jakie polskie źródła są "complete" vs "planned" vs "blocked"; (3) EU AI Act art. 26 obowiązki wdrażającego - plugin używający LDH jako research backend nie wpada w Annex III dopóki działa wspomagająco, ale automatyzacja pipeline "pobierz orzecznictwo z LDH → wygeneruj draft → wyślij do klienta bez review" przesuwa w stronę deployer obligations; (4) Citing orzeczeń z LDH w pismach procesowych - KaBLE-podobne ryzyko halucynacji sygnatury orzeczenia albo fragmentu uzasadnienia (Stanford HAI overlay z 9 maja 2026), reguła: każde cytowanie z LDH weryfikuj w oficjalnym źródle zanim wejdzie do pisma. TRZY PYTANIA PRZED WŁĄCZENIEM KONEKTORA: (1) status polskich źródeł w LDH (SAOS, ISAP, eKRS, MSiG, dzienniki urzędowe); (2) czy kancelaria chce objąć rolę jurisdiction lead PL (widoczność w globalnym projekcie OSS, wpływ na priorytet pokrycia źródeł, obecność w międzynarodowym projekcie LegalTech); (3) czy regulamin promptingu zakazuje wprowadzania faktów klienta do zapytań research. DLA ZARZĄDU KANCELARII W TRZECH ZDANIACH: LDH w connector marketplace Anthropic daje polskiej kancelarii dostęp do globalnego wstępnego przeglądu prawa bez integracji własnymi rękami i jednocześnie zaprasza do roli jurisdiction lead PL; pierwszy krok operacyjny to dziś sprawdzić status polskich źródeł w dashbordzie LDH zanim klienci usłyszą "podpinamy LDH"; drugi - zdecydować czy polskie pokrycie jest projektem do współzarządzania czy tylko opcją do śledzenia. CO MATEMATIC WNOSI: audyt pokrycia LDH dla polskich źródeł (które publiczne są dziś indeksowane, jakie luki) + test 30-50 zapytań research na realnych zadaniach kancelarii + regulamin promptingu zakazujący wprowadzania faktów klienta do zapytań research; plus opcjonalny moduł Jurisdiction lead PL (mapa zadań, harmonogram, wymagania techniczne Python skrypty modułowe, wymagania jakościowe walidacja prawna źródeł). Pillary: Decyzja jako jednostka pracy + Stack zero-cloud. Cross-reference: Aktualność 13.05.2026 (Anthropic launchuje Claude for the legal industry - LDH w wykazie 20+ konektorów), Aktualność 9.05.2026 (Stanford HAI LegalTech overlay - KaBLE benchmark), Aktualność 27.04.2026 (polski LegalTech mapa AI). Autor recenzji: Wiesław Mazur - MateMatic. - [Anthropic launchuje Claude for the legal industry. 12 pluginów praktyki w open source, integracja w Word i Outlook, 20+ konektorów do istniejących DMS-ów.](https://matematicsolutions.com/aktualnosci/2026-05-13-claude-for-legal-industry-anthropic-launch.html): 2026-05-13. Komentarz operacyjny MateMatic do launchu Claude for the legal industry opublikowanego 12 maja 2026 przez Anthropic (post bloga claude.com/blog/claude-for-the-legal-industry plus post LinkedIn Marka Pike, prawnika-product managera w Anthropic, 2 319 reakcji i 125 komentarzy w 13 godzin). TRZY WARSTWY LAUNCHU: (1) warstwa produktowa - Claude osadzony w Microsoft Word (drafting, redlining, tracked changes, formatting check na execution copies, scrub internal comments przed dystrybucją) i Outlook (matter triage, response drafting, scheduling); (2) warstwa rozszerzalności - 12 pluginów praktyki w open source w repozytorium anthropics/claude-for-legal w Markdown (commercial, corporate M&A diligence i board consents, employment hires terminations leave deadlines, privacy DPA reviews DSAR responses, product launch reviews claim substantiation, regulatory monitoring policy tracking, AI governance use case triage impact assessments, IP trademark clearance DMCA, litigation intake holds depositions briefs, plus law student, legal clinic, legal builder hub); 20+ konektorów MCP (contract lifecycle Definely/Docusign/Ironclad, deal rooms Box/Datasite, DMS iManage/NetDocuments, e-discovery Consilio/Everlaw/Relativity, research Legal Data Hunter/Midpage/Trellis, platformy AI Thomson Reuters CoCounsel/Harvey/Solve Intelligence/Legora/Eve, public service Free Law Project/BoardWise/Courtroom5/Descrybe); plus Skills jako reusable instructions kodujące playbooki kancelarii; (3) warstwa narracyjna - partnerzy launchu Freshfields (Gerrit Beckhaus Lab), Accenture (Mindy Lok in-house), Thomson Reuters (Joel Hron), Harvey (Winston Weinberg - cytat 90,9 procent Claude Opus 4.7 na Harvey BigLaw Bench najwyższy wynik wśród modeli Claude), Eve (Jay Madheswaran - 24+ legal-specific scorers, "authoritative-sounding hallucination is worse than no answer"), Holland & Knight. LICZBY: 90,9 procent Harvey BigLaw Bench, 31 milionów dokumentów Free Law Project korpus, 160+ jurysdykcji, dostęp dyskontowany przez Claude for Nonprofits dla qualifying legal aid clinics i public defenders. TRZYFILAROWY FILTR MATEMATIC: bierzemy 12 pluginów open source w Markdown jako startery procesu (kancelaria forkuje Privacy Legal pod RODO/PUODO/art. 9 AI Act, Litigation Legal pod KPC, AI Governance Legal pod EU AI Act z polskim layerem - playbook jako artefakt, nie magia w black-boxie, zgodne z pillarem Decyzja jako jednostka pracy), Skills jako mechanizm reusable instructions zakodowanych w zespole kancelarii, Harvey BigLaw Bench 90,9 procent jako referencyjny baseline, cztery darmowe konektory public service jako sygnał, że pro bono i legal aid są w pakiecie od dnia jeden; flagujemy anglo-amerykański stack 20+ konektorów (iManage, NetDocuments, Ironclad, Harvey, Relativity, Thomson Reuters, Everlaw, Consilio - polska kancelaria nie ma większości, adopcja nie jest "podłącz i działa"), plugin AI Governance Legal jako architekturę common-law gdzie Legal jest jednym z owners obok IT/Risk/Compliance (polski layer EU AI Act art. 9 i 26, KSC, RODO art. 35 wymaga dodania - interpretacja MateMatic, nie stanowisko NRA ani KRRP), Harvey BigLaw Bench jako anglojęzyczny common-law oriented benchmark (90,9 procent na BigLaw Bench nie jest 90,9 procent na polskiej pracy procesowej - patrz Stanford HAI overlay z 9 maja 2026 i KaBLE first-person false belief), brak twardych metryk compliance/security w blogu (brak explicite SOC 2/HIPAA/audit logs/retention policy - "permission-bound, auditable access" to deklaracja, nie certyfikacja); NIE ENDORSUJEMY tezy "Claude topowy w BigLaw Bench więc gotowy dla naszych klientów" bez walidacji na polskim korpusie aktów z polskimi instrumentami (RODO art. 6/9/22/32/35, AI Act art. 6/9/26/50, KPC, tajemnica zawodowa adwokacka art. 6 prawa o adwokaturze, art. 6 ustawy o radcach), tezy "12 pluginów = gotowy stack" (to startery nie procesy - Litigation Legal w common-law nie jest pluginem w KPC), tezy "Anthropic robi za vendora, więc relacja Claude vs polski LegalTech jest rozstrzygnięta" (launch zwiększa zaufanie do platformy, ale nie wymienia stack-u rynku polskiego - polski LegalTech ma swój rytm adopcji). CZTERY LINIE POLSKIEGO COMPLIANCE OFFICERA: (1) RODO art. 28 - DPA z Anthropic z konkretnym zestawem klauzul (lokalizacja serwerów, podpowierzenie, audyt, zwrot/usunięcie danych) - plugin Privacy Legal nie zwalnia z negocjacji DPA z dostawcą AI, jest narzędziem do review DPA z klientami; (2) tajemnica zawodowa adwokacka/radcowska art. 6 PoA i art. 6 u.r.p. wymaga zgody klienta opartej na informacji o miejscu przetwarzania, umowy z Anthropic z zero retention dla treningu, mechanizmu technicznie blokującego retencję - NRA i KRRP bez jednolitego stanowiska, pole otwarte; (3) EU AI Act po Omnibus z 7 maja 2026 - pluginy w trybie wspomagającym poza Annex III, ale konfiguracja bez human-in-the-loop (auto demand letter z Litigation Legal bez review prawnika) przesuwa w stronę art. 26 deployer obligations, polski layer wymaga zapisanego procesu Decyzja jako jednostka pracy w każdym workflow; (4) first-person false belief KaBLE - dotyczy całej rodziny LLM-ów w Litigation Legal do streszczeń zeznań, opinii biegłych, pism drugiej strony, plugin nie zwalnia z testu formatu rozróżniającego "świadek twierdzi" vs "udowodnione". TRZY PYTANIA, KTÓRYCH LAUNCH NIE ZWALNIA Z ODPOWIEDZI: (1) plan walidacji 12 pluginów na polskim korpusie (zbiór 30-50 zadań w polskim języku z polskimi instrumentami procesowymi); (2) DPA z Anthropic przygotowana do podpisu przed migracją wrażliwych treści; (3) który z 20+ konektorów pierwszy (polska kancelaria ma SharePoint/OneDrive/własny DMS - "który punkt integracji ma najwyższy ROI" różni się między kancelarią procesową, korporacyjną, butikiem regulacyjnym). DLA ZARZĄDU KANCELARII W TRZECH ZDANIACH: launch zmienia architekturę dostępną (12 pluginów Markdown jako startery, nie zamknięty produkt), najgroźniejsza decyzja w tym kwartale to skopiowanie konfiguracji BigLaw USA bez polskiej walidacji i layeru regulacyjnego, najbezpieczniejszy ruch to fork 2-3 pluginów + walidacja na 30-50 polskich zadaniach + DPA z Anthropic przed migracją. CO MATEMATIC WNOSI: warsztat Walidacja stack-u AI kancelarii na własnym korpusie w nowej edycji uwzględnia fork pluginu Anthropic jako wariant referencyjny - konstrukcja własnego pluginu w Markdown mapowana na polskie instrumenty (art. 9 RODO, art. 6 prawa o adwokaturze, art. 9 i 26 AI Act, KPC), zbiór testowy 30-50 zadań w polskim języku wzorowany na CaseLaw v2 i KaBLE, DPA template do negocjacji z Anthropic. Pillary: Decyzja jako jednostka pracy + Stack zero-cloud. Cross-reference: Aktualność 9.05.2026 (Stanford HAI LegalTech overlay - KaBLE), Aktualność 9.05.2026 (Kenney Digital 520 - 12 klauzul DPA + 5 governance documents), Aktualność 7.05.2026 (EU AI Act Omnibus), Aktualność 27.04.2026 (polski LegalTech mapa AI), TOM 052 (Stanford HAI AI Index 2026), TOM 056 (Kenney Atlas governance czterech jurysdykcji). Autor recenzji: Wiesław Mazur - MateMatic. - [Kenney składa practitioner's playbook AI compliance. Cztery checklisty bierzemy do biurka kancelarii. Rozdziału 25 nie.](https://matematicsolutions.com/aktualnosci/2026-05-09-kenney-digital520-ai-compliance-enterprise-playbook.html): 2026-05-09. Signal-boost MateMatic dla Insight Report Digital 520 (Noah M. Kenney, May 2026, 58 stron, 25 rozdziałów, licencja proprietary z dystrybucyjnym wyjątkiem - "may share, not edit, attribute Digital 520"). Czwarty materiał Kenneya w bibliotece MateMatic w 14 dni (po BW/001 Governing Agents, BW/045 Runtime Enforcement, BW/056 Governing Intelligence z 9 maja 2026 rano) - dlatego format Aktualności signal-boost, anti-monomania pivot, nie kolejny tom Bazy Wiedzy. KONSTRUKCJA DOKUMENTU: Część I uniwersalne wymogi (rozdz. 1-7: AI Discovery, Licensing Tier, DPA, Procurement Pathways, Sub-Processor Disclosure, 5 Governance Documents, 5-Layer Stack); Część II landscape regulacyjny (rozdz. 8-12: USA stanowy + federalny + sectoral + EU + UK); Część III branże regulowane (rozdz. 13-18); Część IV reporting/risk/audit (rozdz. 19-22); Część V common gaps + 90-day plan + rozdz. 25. CZTERY CHECKLISTY DO BIURKA KANCELARII: (1) 12 wymaganych klauzul DPA dla generative AI vendors (purpose limitation, no training on customer data, cross-border transfer, security commitments z TOMs i SOC 2 / ISO 27001, incident notification 72h, audit rights, data subject request assistance, deletion on termination, confidentiality, indemnification i liability cap multiple of fees nie capped at fees) plus 6 AI-specific addenda (output ownership, hallucination disclaimers, transparency model ID/version, bias testing methodology, logging traceability, EU AI Act alignment); (2) 5 obowiązkowych governance documents - Acceptable Use Policy (CEO/COO/GC approver), Data Classification Scheme (4-tier Public/Internal/Restricted/Prohibited z field-level mapping), Approved Tools List (kwartalny review), AI Governance Charter z RACI (named AI Governance Lead z decision-rights authority), AI-Extended DSAR i Incident Response z five-surface reach (database, prompt log, output cache, embedding index, observability); (3) 12 najczęstszych gaps z remediation - consumer-tier accounts in production, missing DPA/BAA, privacy notices nie odzwierciedlające AI processing, sub-processor list incomplete, DSAR nie sięgający AI surfaces, brak data classification, brak named AI gov owner, embedded AI on by default i undisclosed, brak risk assessment, incident response bez AI scenarios, brak bias testing, shadow AI unmanaged ("3+ obecne = sprawa opóźniona"); (4) 90-dniowy plan tygodniowy - tyg. 1-4 Visibility (discovery przez SSO/DNS/expense, inventory v1, license tier match, charter governance), tyg. 5-8 Documents (AUP, Data Classification, Approved Tools List, AI extensions DSAR/incident response), tyg. 9-12 Operations (risk assessment top 3 use cases, sub-processor list, tabletop incident response, audit-readiness self-assessment); HIGHEST-LEVERAGE THREE jeśli 3 akcje są możliwe w tym kwartale - stop consumer-tier business use, execute DPA/BAA dla każdego dostawcy przetwarzającego PI, name AI governance owner z decision-rights authority. TRZYFILAROWY FILTR MATEMATIC: bierzemy 12 klauzul DPA + 6 AI addenda jako szablon do adaptacji z mappingiem na art. 28 RODO i art. 26-27 EU AI Act, five-surface DSAR jako gotową listę pól, 12 gaps jako lustrzaną checklistę audytu wewnętrznego, Highest-Leverage Three jako rekomendację do zarządu kancelarii; flagujemy US-centryzm kontraktowy (DPA + BAA + CCPA service-provider terms - polska kancelaria ma art. 28 RODO i krajowe przepisy o świadczeniu usług drogą elektroniczną), Five-Layer Stack w rozdz. 7 (powtórzenie z TOM 045 - kto ma TOM 045 nie potrzebuje rozdz. 7), daty EU AI Act sprzed Omnibus z 7 maja 2026 (Annex III - 2 grudnia 2027), liability cap "multiple of fees" wymaga osobnego ujęcia w polskim prawie cywilnym (interpretacja MateMatic, nie stanowisko NRA ani KRRP); NIE ENDORSUJEMY rozdziału 25 "Engaging Digital 520" jako legitymowanego compliance step - to sales pitch wymieniający 5 engagementów Digital 520 (Discovery and Gap Assessment 2-4 tygodnie, AI Governance Build 8-12 tygodni, Reference Architecture for Integration Boundary 4-8 tygodni, Audit-Readiness Preparation 4-6 tygodni, Fractional Chief AI Officer kwartalny retainer); compliance playbook nie powinien zamykać się rozdziałem o tym gdzie kupić doradztwo od autora - czytelnik kancelarii powinien wiedzieć, że rozdziały 1-24 są neutralnym materiałem a rozdz. 25 to reklama. CO MATEMATIC WNOSI: warsztat Lokalizacja DPA i 5 governance documents do polskiego porządku prawnego - deliverable zlokalizowany szablon DPA (12 klauzul + 6 AI addenda) na art. 28 RODO + art. 26-27 EU AI Act, pakiet 5 governance documents z mappingiem na KEA/KERP/ustawę o świadczeniu usług drogą elektroniczną/ustawę o KSC w nowelizacji NIS2, audyt 12 najczęstszych gaps z raportem zamknięcia luk, 90-dniowy plan zaadaptowany do PL realiów. Pillary: Decyzja jako jednostka pracy + Stack zero-cloud. Cross-reference: TOM 056 (Governing Intelligence - atlas), TOM 045 (Runtime Enforcement - Five-Layer Stack), TOM 001 (Governing Agents), TOM 054 (EDPB DPIA baseline-eskalacja), Aktualność 7.05.2026 (EU AI Act Omnibus), Aktualność 9.05.2026 rano (Stanford HAI LegalTech overlay). - [Stanford HAI dorzuca LegalTech overlay do AI Index 2026. Pięć tematów, każdy z liczbą - i nie są to liczby, które zwalniają z czujności.](https://matematicsolutions.com/aktualnosci/2026-05-09-stanford-hai-legaltech-overlay-ai-index-2026.html): 2026-05-09. Signal-boost MateMatic dla overlay LegalTech wydanego przez Stanford Institute for Human-Centered AI jako kuratorska synteza branżowa wybranych kawałków AI Index Report 2026 (385+ stron, IX edycja, kwiecień 2026; pełna recenzja flagowa raportu - TOM 052 BW/2026/052 z 4 maja 2026). PIĘĆ TEMATÓW: (1) Legal Reasoning Benchmarks (rozdz. 2.5) - CaseLaw v2 z GPT-5.1 lider 73,4 procent, top modeli 62-70 procent, common weakness wskazywana wprost: modele opierają się na wiedzy ogólnej zamiast na dostarczonych dokumentach; LegalBench top 15 modeli powyżej 83 procent w wąskim 4-punktowym przedziale (różnicowanie trudne); (2) Hallucination Problem w Legal Contexts (rozdz. 3.2) - KaBLE benchmark testuje rozróżnianie znanych faktów od wierzeń, modele istotnie spadają na zadaniach first-person false belief; (3) LegalTech Investment Trends (rozdz. 4.2) - około 6,52 mld USD w 2025 roku; (4) AI Adoption w Legal Functions (rozdz. 4.3) - knowledge management 58 procent (top wraz z IT), risk i compliance niski uptake, Legal jako primary owner of AI governance tylko 5-6 procent organizacji; (5) Legal/Regulatory Frameworks (rozdz. 3.3 i 5) - GDPR 60 procent (down z 65), EU AI Act i U.S. AI Executive Order rosną. Wniosek HAI: AI capable of legal reasoning (60-87 procent range), inwestycje rosną, enterprise adoption w legal knowledge work należy do najwyższych - ale reliability concerns (halucynacje, mylenie wiary z faktem) pozostają centralną barierą głębszego deploymentu w high-stakes legal settings. TRZYFILAROWY FILTR MATEMATIC: bierzemy 6,52 mld USD jako sygnał dojrzałości kategorii, 58 procent adopcji jako baseline, 5-6 procent Legal owner of AI governance jako mapę okna do wejścia; flagujemy 73,4 procent CaseLaw v2 (oznacza około 26 procent błędów na real-world litigation), wąski 4-punktowy range LegalBench (ranking benchmarka mniej istotny niż walidacja na własnym korpusie), KaBLE i first-person false belief jako sygnał ryzyka dla streszczeń zeznań i opinii świadków (interpretacja MateMatic, nie stanowisko NRA ani KRRP); nie endorsujemy wniosku, że 60-90 procent accuracy = gotowość produkcyjna w polskiej kancelarii bez walidacji na własnym korpusie i architektury kontroli per decyzja, ani że 58 procent adopcji knowledge management = dowód na bezpieczne wdrożenie (HAI sam flaguje hallucination jako centralną barierę w high-stakes legal settings). CO MATEMATIC WNOSI: warsztat Walidacja stack-u AI kancelarii na własnym korpusie - deliverable 30-50 zadań testowych wzorowanych na CaseLaw v2 i KaBLE w polskim języku i polskim systemie prawnym, mapa accuracy 3-4 modeli kandydatów, pre-ustawiony prompt-template z post-walidacją dla streszczeń i analizy. Pillary: Decyzja jako jednostka pracy + Stack zero-cloud. Cross-reference: TOM 052, TOM 056 (Kenney - 4 jurysdykcje), TOM 053 (Five Eyes), Aktualność 7.05.2026 (EU AI Act Omnibus). - [EU AI Act przesuwa terminy. Kierunek pozostaje. Kancelaria, która zrobi odroczenie wymówką, popełnia błąd kategorii.](https://matematicsolutions.com/aktualnosci/2026-05-07-eu-ai-act-omnibus-przesuniecie-terminow.html): 2026-05-07. Komentarz operacyjny MateMatic do politycznego porozumienia Rady UE i Parlamentu Europejskiego z 7 maja 2026 ws. Digital Omnibus on AI. NAJGŁOŚNIEJSZE PRZESUNIĘCIA: Annex III (rekrutacja, edukacja, kredyt, biometria, infrastruktura krytyczna, ściganie, wymiar sprawiedliwości, migracja) z 2 sierpnia 2026 na 2 grudnia 2027; Annex I (urządzenia medyczne, maszyny, zabawki, dźwigi, łodzie regulowane sektorowo) na 2 sierpnia 2028; art. 50(2) watermarking grace period skompresowany z 6 do 3 miesięcy, nowa data 2 grudnia 2026 - daty są twarde, niezależne od dostępności standardów. PIĘĆ ELEMENTÓW POROZUMIENIA: (1) przesunięcie egzekucji Annex III i Annex I; (2) nudification i CSAM dodane do art. 5 prohibited practices z safe-harbour dla systemów z prewencyjnymi zabezpieczeniami; (3) rejestracja w bazie unijnej pozostaje obowiązkowa dla dostawców exempted - propozycja Komisji uproszczenia ograniczona przez Parlament i Radę; (4) art. 50(2) watermarking skompresowany do 3 miesięcy; (5) szerszy zakres przetwarzania sensitive personal data dla bias correction - nadal "strictly necessary". CO PRZEMILCZANO: art. 4 (AI literacy) - Komisja i Rada chciały usunąć lub złagodzić, Parlament był przeciw, brak komunikatu sugeruje brak porozumienia. ANTI-DEPRIORITISATION ARGUMENT MateMatic: przesunięto egzekucję nie obowiązek przygotowania (Annex III i Annex I obejmują systemy już dziś w produkcji); art. 9 to mechanizm ciągły wymagający trzech cykli iteracji ISO 27005 czyli minimum dwóch kwartałów; konsultacje EDPB nad szablonem DPIA kończą się 9 czerwca 2026 i RODO art. 32-35 plus AI Act art. 9 to ten sam mechanizm baseline-eskalacja w trzech aktach prawnych. TRZY PYTANIA OPERACYJNE DLA KANCELARII: (1) które obecne systemy AI pasują do Annex III lub Annex I - mapping architektoniczny nie prawny; (2) czy proces art. 9 jest ciągły czy audytowy - roczny audyt zewnętrzny nie jest art. 9; (3) co robimy z AI literacy między dziś a hipotetycznym wycofaniem art. 4 - czekanie na Brukselę przegrywa. CO MateMatic WNIESIE: warsztat AI Act dla kancelarii - mapowanie systemów AI na Annex III i Annex I, projektowanie procesu art. 9 jako ciągłego mechanizmu, program AI literacy niezależny od finalnej formy art. 4; deliverable - mapa ryzyka systemów AI plus lista luk do zamknięcia przed 2 grudnia 2027 plus roadmapa programu literacy z modułami szkoleniowymi dla zespołów prawnych i administracyjnych; materiał oparty o połączenie trzech aktów prawnych (RODO art. 32-35, AI Act art. 9-6, ISO 27005), nie jeden checklist regulacyjny. - [EDPB ma szablon DPIA. Ale formularz to nie jest problem - problem jest wcześniej.](https://matematicsolutions.com/aktualnosci/2026-05-06-edpb-szablon-dpia-mechanizm-zarzadzania-ryzykiem.html): 2026-05-06. EDPB opublikował 14 kwietnia 2026 oficjalny szablon DPIA - konsultacje publiczne otwarte do 9 czerwca 2026. Branża komentuje formularz; MateMatic patrzy na mechanizm. KLUCZ: większość organizacji robi DPIA bez solidnego baseline'u z art. 32 RODO pod spodem - czyli wchodzi na piętro omijając fundament. HISTORIA MECHANIZMU: ISO/IEC TR 13335-3:1998 (poprzednik ISO 27005) opisał dwa poziomy oceny ryzyka - ocena ogólna baseline plus ocena szczegółowa eskalacja jako mechanizm. RODO art. 32 to baseline; art. 35 (DPIA) to eskalacja, wchodzi gdy art. 32 wykaże wyzwalacz wysokiego ryzyka - jeden proces w dwóch artykułach tego samego rozdziału, nie dwa oddzielne checkboxy. AI ACT DODAJE TRZECI POZIOM: art. 9 system zarządzania ryzykiem (baseline odpowiednik art. 32 dla AI), art. 6 plus Annex III systemy wysokiego ryzyka (eskalacja - obowiązkowa ocena zgodności, dokumentacja techniczna, rejestracja w bazie unijnej), audyt zewnętrzny przez jednostkę notyfikowaną dla wybranych kategorii (szczyt piramidy). Trzydzieści lat historii, trzy regulacje, jeden wzorzec myślenia o ryzyku. KONSEKWENCJA DLA KANCELARII: organizacja, która robi DPIA bez wcześniejszego baseline'u art. 32, robi eskalację bez oceny ogólnej. Szablon EDPB tego nie naprawi - problem jest w kolejności działań, nie w jakości formularza. Pytania przed podpisaniem umowy z doradcą compliance: jak ocenicie ryzyko w art. 32 zanim przystąpicie do DPIA; kto wdrażał ISO 27001/27005 w zespole; jak zmapujecie systemy AI na Annex III od strony architektury nie tylko przepisów. CO MateMatic WNIESIE: warsztat AI Act dla kancelarii - mapowanie systemów AI na Annex III, art. 9 jako ciągły proces, połączenie z baseline'em RODO art. 32 i wyzwalaczami DPIA art. 35; deliverable - mapa ryzyka systemów AI plus lista luk do zamknięcia przed pierwszą inspekcją UODO. - [AI Firm Index - powstał katalog AI-native kancelarii. Co z tego dla polskiego rynku prawniczego.](https://matematicsolutions.com/aktualnosci/2026-05-05-ai-firm-index-pollins-katalog-ai-native-kancelarii.html): 2026-05-05. Sygnał z rynku: Matt Pollins (co-founder Lupl, ex-partner CMS) uruchomił w marcu 2026 katalog kancelarii zbudowanych od podstaw wokół AI - aifirmindex.com. 27 firm w marcu, 40 firm w kwietniu. Pollins próbuje opisać kategorię, której wcześniej nie było - NewMod, kancelaria-AI-natywna: intake, pricing, delivery i struktura zespołu zaprojektowane od pierwszego dnia wokół AI jako fundamentu, nie dodatku. PIĘĆ KRYTERIÓW POLLINSA: (1) intake przez agentów nie przez maila do associate (klient nie pisze "mam sprawę oddzwoń" - wpisuje do formularza, Slack-bota, agenta który zbiera dane, kwalifikuje sprawę, przekazuje prawnikowi z gotowym kontekstem); (2) publiczny cennik online albo AI-asystent wyceny (pricing transparency twardym kryterium - klient wie co zapłaci zanim umówi konsultację, część firm publikuje listę cen, część daje agenta-wyceniacza, brak punktu "zadzwoń omówimy"); (3) AI jako fundament workflow nie add-on (każdy etap obsługi sprawy - draft, review, komunikacja, fakturowanie - wykorzystuje AI domyślnie, prawnik nadzoruje ale praca powstaje w narzędziu nie w Word-zie wspomaganym Copilotem); (4) struktura zespołu odporna na model billable hour (część firm rezygnuje z modelu godzinowego całkowicie - flat fee, subscription, success fee; wynagrodzenie zespołu nie zależy od liczby przepracowanych godzin tylko od liczby zamkniętych spraw lub jakości decyzji); (5) definicja w ruchu - Pollins explicit pisze że kategoria dopiero powstaje i kryteria będą ewoluować, to nie closed-list tylko obserwacja rynku in-flight. Przykłady firm: Crosby (NDA/MSA, US), Garfield (small claims, UK), Soxton, Eudia, Alaro, AgileCounsel. TRZYFILAROWY FILTR MateMatic - co bierzemy do polskiego rynku: pricing transparency online (publiczny cennik nie narusza KEA art. 32 ani KERP art. 36 - mówią o godziwości wynagrodzenia, nie o utajnieniu), intake przeprojektowany na agenta zamiast skrzynki mailowej (wzorzec techniczny niezależny od kraju, daje się zbudować na stack zero-cloud - formularz + AppFlowy + Bielik lokalnie), ekonomia decyzji zamiast godziny (narracja MateMatic od BW/050 Krause Moneyball i triady BW/051-053). Co wymaga kontekstu: polski rynek pod art. 5 ustawy o radcach prawnych i art. 4a prawa o adwokaturze wymaga by właścicielami spółki prawniczej byli wyłącznie radcowie/adwokaci - wyklucza model amerykański typu Manifest OS (60M USD Series od PE, partnerzy = inwestorzy finansowi); polska kancelaria może zaadaptować operacje AI-native ale nie strukturę kapitałową; większość firm w katalogu hostuje dane klientów na OpenAI/Anthropic API bez transparentnej DPA - dla polskiej kancelarii pod RODO art. 28 i tajemnicą zawodową art. 6 PoA + art. 6 u.r.p. to oddzielny audyt nie blanket decyzja. Czego nie endorsujemy: vendor lock-in jako fundament (część firm w indeksie zbudowana wokół jednego ekosystemu Lupl/Manifest OS/Alaro i bez tego ekosystemu nie istnieje - MateMatic vendor-agnostic, polska kancelaria powinna mieć stack wymienialny warstwa po warstwie nie monolit); "AI-native" jako self-tag marketingowy (27→40 firm w miesiąc to też sygnał że część kancelarii dokleja etykietę bez pokrycia operacyjnego - czerwony długopis przed każdą referencją). CO MateMatic ROBI Z TYM SYGNAŁEM: (1) katalog Pollinsa wzmacnia tezę MateMatic od miesięcy - jednostką pracy prawnika przestaje być godzina i dokument staje się decyzja (pięć kryteriów AI-native to operacjonalizacja tej tezy na poziomie firmy); (2) Polski LegalTech AI 2026 ma już dwa aktywne dashboardy w Akademii MateMatic (mapa 19 narzędzi w 8 kategoriach plus 100 promptów dla kancelarii) - trzecim dashboardem rozważanym na Q3 2026 jest self-assessment "AI-native readiness PL" - 5 kryteriów Pollinsa zmapowane na art. 5 u.r.p., RODO art. 28-32, AI Act art. 26, KEA i KERP, nie ranking nie indeks - osobiste narzędzie diagnostyczne; (3) cztery z pięciu kryteriów Pollinsa (intake, pricing, delivery, audytowalność decyzji) da się dziś zbudować na stack zero-cloud RODO-safe bez OpenAI bez Lupl bez Manifest OS - pillar MateMatic od kwietnia (gogcli + Chandra OCR + noScribe + AppFlowy + Cline + DocuSeal + Bielik lokalnie). SYGNAŁ KIERUNKOWY: Polska kancelaria która zaczyna w maju 2026 myśleć o swoich operacjach jako AI-native ma dwa lata przewagi nad rynkiem - pierwsza fala adopcji (87 procent prawników z ChatGPT) skończyła się "AI-augmented" nie "AI-native"; druga fala - przeprojektowanie intake, pricing i delivery wokół decyzji - dopiero się zaczyna. CO MateMatic WNOSI: audyt AI-native readiness dla polskiej kancelarii - pięć kryteriów Pollinsa zmapowane na art. 5 u.r.p., art. 4a PoA, RODO art. 28-32, AI Act art. 26, KEA i KERP; diagnostyka intake, pricingu, delivery, struktury zespołu i audytowalności decyzji - co dziś działa, co wymaga przeprojektowania, co da się zbudować na stack zero-cloud RODO-safe bez vendor lock-in; deliverable - mapa luk plus plan kwartalny plus checklist deontologiczna. - [Raport Supesu pokazuje wynagrodzenia, AI i wypalenie. Pod spodem jest coś ważniejszego: zmienia się jednostka pracy prawnika.](https://matematicsolutions.com/aktualnosci/2026-05-04-supesu-decyzja-jako-jednostka-pracy.html): 2026-05-04. Komentarz strategiczny MateMatic do IV edycji Raportu Rynku Prawniczego Supesu (CAWI, n=507) - teza otwierająca: większość czytelników ogląda raport jak materiał HR (wynagrodzenia, rotacja, wypalenie, narzędzia AI) i to słuszna lektura, ale niewystarczająca. Pod warstwą HR-ową dzieje się zmiana ważniejsza dla zarządu kancelarii: 87 procent adopcji AI plus 50 procent objawów wypalenia plus 33 procent Wdrożenie AI w działach in-house razem oznaczają, że jednostką pracy prawnika przestaje być godzina i dokument - staje się decyzja. AI i LegalTech nie przyspieszają pracy; przesuwają granicę między wykonaniem a odpowiedzialnością. Trzy operacyjne konsekwencje: (1) mniej znaczenia ma czas pracy - 50 procent objawów wypalenia w branży gdzie 87 procent prawników już używa AI oznacza że narzędzie nie redukuje stresu (stres nie pochodził z czasu, tylko z rzadkości i wagi decyzji), (2) więcej znaczenia ma jakość i trafność decyzji - klient nie płaci za godzinę przy biurku tylko za wybór ścieżki A zamiast B z uzasadnieniem, wycena oparta na godzinie przesuwa się ku wycenie opartej na decyzji, (3) największą przewagę budują ci, którzy potrafią to zapisać w systemie - decyzja "w głowie partnera" nie skaluje się i nie przenosi na zespół, decyzja zapisana z kontekstem alternatywami uzasadnieniem daje skalowalność i realną kontrolę zarządczą. Trzy warstwy architektury pracy: (1) WARSTWA WEJŚCIA DECYZJI - skąd prawnik bierze sygnały (akta, baza orzecznictwa, output AI, intuicja zawodowa, konsultacja z partnerem), czy świadomie zaprojektowane czy improwizowane na każdą sprawę osobno; (2) WARSTWA WERYFIKACJI I DRUGIEGO OKA - czy decyzja przechodzi human-in-the-loop oversight, peer review, supervisorship partnera, czy istnieją scenariusze gdzie jedno oko wystarcza i są świadomie wybrane; (3) WARSTWA ZAPISU I AUDYTOWALNOŚCI - czy decyzja zostaje udokumentowana w sposób pozwalający odtworzyć ją za 12 miesięcy w postępowaniu dyscyplinarnym, w sporze o starania zawodowe, w audycie klienta. Centralne przesunięcie zarządcze: większość organizacji systematyzuje WIEDZĘ a powinna systematyzować SPOSÓB PODEJMOWANIA DECYZJI - bo wiedza bez kontekstu decyzji szybko staje się martwa, a dopiero zapisany powtarzalny sposób dochodzenia do decyzji daje skalowalność i realną kontrolę. Mostek do polskiej deontologii i regulacji: decyzja jako jednostka pracy nie tylko ekonomicznym przesunięciem ale deontologicznym wymogiem - art. 6 KEA i art. 6 KERP wymagają staranności zawodowej, niezależności, godności zawodu spełnianych na poziomie decyzji nie godziny (adwokat 12 godzin pod presją bez peer review narusza staranność, godzina świadomie z udokumentowanym uzasadnieniem wypełnia obowiązek); RODO art. 28 i 32 (środki techniczno-organizacyjne adekwatne do ryzyka - bez zapisanego sposobu podejmowania decyzji o wprowadzeniu danych klienta do AI środki organizacyjne nie istnieją na papierze mimo że istnieją w głowach); AI Act art. 26 deployer obligations (dokumentacja użycia AI plus nadzór ludzki plus raportowanie incydentów - bez warstwy zapisu decyzji deployer obligations są fikcją regulacyjną); NIS2 (polska transpozycja UKSC weszła w życie 3.04.2026 z deadline implementacji 3.04.2027 - dla kancelarii obsługujących klientów z 18 sektorów objętych dyrektywą wymaga rejestru incydentów i ścieżki decyzyjnej w cyber security). TRZY PYTANIA OPERACYJNE DLA ZARZĄDU KANCELARII zamiast pytań HR-owych: (1) czy wiemy jaką decyzję nasi prawnicy podejmują najczęściej tygodniowo i jakim sygnałem zewnętrznym ta decyzja się zaczyna; (2) czy nasze decyzje przechodzą drugie oko i kiedy świadomie z drugiego oka rezygnujemy dlaczego na jaki próg ryzyka klienta; (3) czy potrafimy odtworzyć decyzję sprzed sześciu miesięcy z kontekstem alternatywami uzasadnieniem jeśli klient zażąda pod art. 15 RODO jeśli sąd dyscyplinarny zapyta jeśli następca w dziale in-house będzie analizował precedens. Cross-references: pełna recenzja raportu Supesu BW/051 (5 obserwacji MateMatic plus 3 luki ankiety plus mapping deontologia/RODO/AI Act); globalny benchmark adopcji organizacyjnej BW/052 Stanford AI Index 2026 (88 procent globalnie plus 362 incydenty 2025); operacjonalizacja bezpieczeństwa decyzji w architekturze AI BW/053 Five Eyes Careful adoption (pięć kategorii ryzyk plus lifecycle czterech etapów plus mapping NIS2 UKSC); mostek do warstwy zarządczej kancelarii BW/050 Krause Moneyball for Lawyers (Profit Formula plus system A-F klientów jako framework decyzyjny obok warstwy AI). CO MateMatic WNIESIE: audyt architektury pracy kancelarii w trzech sesjach - mapowanie warstwy wejścia decyzji (sygnały, AI, baza orzecznictwa, konsultacja), warstwy weryfikacji i drugiego oka (HITL, peer review, supervisorship), warstwy zapisu i audytowalności (rejestr decyzji pod RODO art. 28-32, AI Act art. 26, NIS2); deliverable - polityka decyzyjna kancelarii plus rejestr scope'ów AI plus protokół drugiego oka plus szablon zapisu decyzji do odtworzenia w postępowaniu dyscyplinarnym. - [Workspace staje się natywnym środowiskiem AI. Dwa ogłoszenia Google'a w tym tygodniu i poważne 'ale' dla kancelarii.](https://matematicsolutions.com/aktualnosci/2026-04-30-google-workspace-staje-sie-srodowiskiem-ai.html): 2026-04-30. Komentarz strategiczny MateMatic łączący dwa ogłoszenia Google'a z tego samego tygodnia w jedną tezę: 27.04 globalny rollout eksportu plików w Gemini (Docs, Sheets, Slides, PDF, Word .docx, Excel .xlsx, RTF, TXT, MD, CSV, LaTeX - dla wszystkich edycji Workspace + Workspace Individual + kont prywatnych, Rapid Release i Scheduled Release), 29.04 natywne MCP w Workspace plus custom MCP w Gemini Enterprise (preview). Razem: Workspace przestaje być miejscem trzymania plików z doczepionym AI - staje się natywnym środowiskiem AI z dwustronnym interfejsem (MCP od strony danych wejściowych, eksport od strony wyjściowych) i jednolitą warstwą tożsamości OAuth + Workspace identity. Sednem dla kancelarii: rozróżnienie DPA per edycja Workspace - Business Standard / Plus, Enterprise Standard / Plus, Frontline, Essentials, Nonprofits, Business Starter mają Gemini Apps jako core service z enterprise-grade data protection (Workspace DPA, treść NIE używana do treningu); Workspace Individual, Business Base, G Suite legacy, Cloud Identity, Chrome Enterprise mają Gemini jako additional service podlegającą Google Terms of Service plus Gemini Apps Privacy Notice (consumer terms, możliwy review przez human reviewers); prywatne konto Google to pełne consumer ToS bez DPA z domyślnie włączoną historią rozmów. Sprawdzenie edycji - badge Pro/Expanded/Ultra w UI gemini.google.com. Trzy use case'y: kancelaria z Business Standard/Plus korzysta świadomie (notatka po rozprawie plus eksport docx do folderu sprawy w obrębie DPA), kancelaria z mixed accounts wymaga audytu pilnie (część zespołu pod DPA, część nie - polityka natychmiast), indywidualny prawnik z prywatnym kontem ma default status quo (każda treść sprawy klienta wpisana w prompt narusza tajemnicę zawodową; sensowna decyzja to migracja na Workspace Business Standard 12 EUR/użytkownik/mc albo samodyscyplina). Mapping compliance: RODO art. 28 (DPA per edycja - pierwsza pozycja audytu), RODO art. 32 (świadoma decyzja edycji plus polityka AI plus szkolenie zespołu = środek techniczno-organizacyjny), tajemnica zawodowa art. 6 PoA + art. 6 RP (prawnik z prywatnym kontem Google'a wklejający treść sprawy do Gemini narusza obowiązek - bez 'ale'), AI Act art. 26 (deployer obligations - nadzór zerwany jeśli dopuszczone konta osobiste). Pięć czerwonych flag: brak inwentaryzacji edycji, brak polityki AI, brak szkolenia z badge'a, domyślne ustawienia konta osobistego, eksport 'z domu do pracy' (treść już wyszła z Google'a po stronie consumer). Co MateMatic wnosi: audyt edycji Workspace plus warsztat 'AI scoping w Workspace' (rozdzielenie co prawnik może z Gemini w kontekście sprawy, ustawienie MCP scope'ów dla agentów gdy MCP wyjdzie z preview, dokumentacja pod RODO 28+32 i AI Act art. 26). Cross-reference do Aktualności o MCP z tego samego dnia. - [Google podpina Workspace i Gemini Enterprise pod MCP. Co to znaczy dla kancelarii.](https://matematicsolutions.com/aktualnosci/2026-04-30-google-workspace-mcp-servers-gemini-enterprise.html): 2026-04-30. Komentarz strategiczny MateMatic do dwóch ogłoszeń Google'a o Model Context Protocol (MCP) - otwartym standardzie Anthropic'a. Tor pierwszy: zdalne serwery Workspace MCP (Gmail, Drive, Calendar, Chat, People) jako developer preview - klienci AI (Gemini CLI, Claude Code, Claude Desktop, IDE) konfigurują endpoint plus OAuth client/secret plus scope'y i dostają tools takie jak search_threads, create_draft, create_file, listing wydarzeń kalendarza, z uprawnieniami dziedziczonymi po użytkowniku. Tor drugi: custom MCP server data store w Gemini Enterprise (Pre-GA) - kancelaria wystawia własny serwer MCP nad DMS/bazą wzorów, podpina w konsoli Cloud jako data store; wymóg StreamableHTTP (bez SSE), HTTPS, OAuth (Okta/Azure AD/Google), Discovery Engine Editor role, override organization policy; agent w Agent Designer (nie default Gemini). Trzy use case'y dla kancelarii: (1) asystent prowadzącego sprawę read-only do folderu Drive sprawy plus label'a Gmail, (2) custom MCP nad firmowym DMS/bazą wzorów (search_clauses, get_template), (3) audyt scope'ów AI w kancelarii (jawne OAuth = pierwsza centralna warstwa "co AI faktycznie czyta i pisze"). Mapping compliance: RODO art. 32 (least privilege via scope'y), RODO art. 28 (Google nadal procesor; trzecia strona klient MCP = nowy podmiot DPA), tajemnica zawodowa art. 6 PoA + art. 6 RP (zgoda klienta + DPA dostawcy klienta MCP), AI Act art. 26 (rejestr scope'ów jako artefakt deployer obligations). Czerwone flagi preview: status Preview/Pre-GA bez SLA, brak VPC-SC i PSC w Gemini Enterprise preview, granica klienta MCP jako trzeciej strony, scope hygiene (drive vs drive.file, gmail.modify vs gmail.readonly), zarządzanie OAuth client w IdP. Wzorzec MateMatic: otwarty standard nie vendor lock-in + Workspace nie nowy SaaS + jawne scope'y i audytowalność. Konkluzja: dziś czas na politykę i sandbox, nie produkcję; warsztat MateMatic "MCP scoping dla kancelarii" mapuje scope'y do typowych procesów (nowa sprawa, due diligence, KYC, monitoring orzecznictwa) i dokumentuje to pod RODO + AI Act art. 26. - [Magika - 1 MB modelu Google, który sprawdza czym naprawdę jest plik. Praktycznie dla kancelarii.](https://matematicsolutions.com/aktualnosci/2026-04-29-magika-google-detektor-typow-plikow.html): 2026-04-29. Recenzja MateMatic open-source'owego detektora typów plików google/magika (Apache 2.0, 16.8k★ GitHub). Model ~1 MB, 5 ms inferencji na CPU, 200+ formatów, ~99% precision/recall na ~100M plików treningowych. Bindings: Rust CLI, Python, JavaScript/TypeScript, Go. Google używa wewnętrznie w Gmail, Drive i Safe Browsing. Korekta klikbajtu mediów branżowych: Magika to detektor TYPU pliku (content type detection), NIE antywirus - czyta pierwsze bajty i mówi "ten 'PDF' to naprawdę PowerShell script". Trzy use case'y dla kancelarii: filtr przy bramie pocztowej, pre-processing przed indeksowaniem do DMS, audyt cudzego dysku przy due diligence M&A. Mapping na compliance: RODO art. 32 (środki techniczne adekwatne do ryzyka), NIS2 (identyfikacja zagrożeń), ENISA Multilayer Framework (security by design, input validation). Wpisuje się w wzorzec MateMatic vendor-agnostic edukator: open source + lokalna inferencja + zero opłat licencyjnych + Google używa wewnętrznie = idealne kryteria DIY dla kancelarii. - [Otwarty przewodnik po dostępności dokumentów. Piekot i Zrolka zapraszają do współtworzenia.](https://matematicsolutions.com/aktualnosci/2026-04-29-piekot-zrolka-przewodnik-dostepnosc-dokumentow.html): 2026-04-29. Komentarz do inicjatywy Piotra Zrolki (CPACC) i Tomasza Piekota - otwarty, kolaboracyjny dokument przewodnik po dostępności dokumentów Word, otwarty na wkład każdego. Reakcja na publikację ZBP z błędną tezą o przypisach. Z perspektywy MateMatic: dostępność dokumentów = compliance EAA (dyr. 2019/882, ustawa 26.04.2024 obowiązująca od 28.06.2025) + RODO art. 12 + Konwencja ONZ o prawach osób z niepełnosprawnościami art. 9 + KP art. 23a + dostępność procesowa. Brakujący rozdział do napisania - dokumenty prawne (pisma procesowe, opinie, klauzule informacyjne, umowy). - [Baza Wiedzy urosła w weekend o dziewięć tomów. Co siedzi w tym przyroście.](https://matematicsolutions.com/aktualnosci/2026-04-28-baza-wiedzy-przyrost.html): 2026-04-28. Podsumowanie weekendu wzbogacenia BW (33→42 tomy). Mapa pięciowarstwowego stack'u governance AI: BW/039 RAII (wewnętrzna polityka), BW/040 King (audyt dostawców), BW/041 RAND (monitoring trajektorii), BW/036 Kuśmierek (polski kontekst), BW/042 AICDI (empiryczny benchmark globalny - 100 tysięcy punktów danych z 2972 spółek). Plus cztery dodatkowe tomy uzupełniające (BW/034 Kumaran, BW/035 Laban, BW/037 MIT AIRI Navigator, BW/038 Smuha Cambridge Handbook). Rekomendowana kolejność czytania dla compliance officera kancelarii. - [Polski LegalTech AI 2026. Subiektywny przewodnik dla kancelarii.](https://matematicsolutions.com/aktualnosci/2026-04-27-polski-legaltech-mapa-ai.html): 2026-04-27. Subiektywna mapa: 18 narzędzi w 8 kategoriach (research orzecznictwa, contract review, workflow, chat AI, compliance, negocjacje, e-discovery, bazy z warstwą AI). Bez rankingu. - [100 promptów do Claude. Przewodnik dla kancelarii.](https://matematicsolutions.com/aktualnosci/2026-04-24-100-promptow-do-claude.html): 2026-04-24. Przewodnik z sub-page, PDF-em i trzema zasadami użycia promptów w kancelarii. - [Command Center w Claude. Jedno okno zamiast ośmiu.](https://matematicsolutions.com/aktualnosci/2026-04-22-command-center-w-claude.html): 2026-04-22. Praktyka: warstwa zarządcza nad ośmioma aplikacjami dnia codziennego. - [DJA Polska](https://matematicsolutions.com/aktualnosci/2026-04-21-dja-polska.html): 2026-04-21. ## Baza Wiedzy - recenzje Każdy wpis to pisemna recenzja źródła (książki, raportu, artykułu naukowego) z perspektywy polskiej kancelarii. Autor wszystkich recenzji: Wiesław Mazur (MateMatic). Format: headline, recenzja z cytatami, wniosek dla kancelarii. - [Masz sekret? Agent AI go nie utrzyma. Pierwszy benchmark prywatności LLM w społeczności agentów.](https://matematicsolutions.com/baza-wiedzy/2026-05-29-priyanshu-multi-agent-privacy-contextual-integrity.html): TOM 065. Aman Priyanshu, Supriti Vijay, Esha Pahwa (Foundation AI, Corvic AI), Got a Secret? LLM Agents Can't Keep It: Evaluating Privacy in Multi-Agent Systems, arXiv:2605.27766v1 [cs.AI], 26 maja 2026, przyjęte na CAIS '26 (ACM Conference on AI and Agentic Systems), licencja CC BY 4.0 - dozwolony cytat i derywat z atrybucją, MateMatic linkuje do arXiv. CO TO JEST: pierwszy benchmark prywatności agentów LLM w środowisku wieloagentowym. Autorzy zbudowali symulator w stylu Reddita, w którym 2533 persony agentów (wyodrębnione z publicznego zbioru Moltbook), każda z prywatnym profilem człowieka liczącym średnio około 97 par klucz-wartość w dziesięciu domenach wrażliwych (tożsamość ogólna, finanse, zdrowie, zdrowie psychiczne, sprawy prawne, relacje, mieszkanie, zatrudnienie, edukacja, terminarz) i persystentną pamięcią MEMORY.md, działa przez 25 symulowanych dni na 124 społecznościach; trzy modele OpenAI w równych proporcjach (GPT-5-nano, GPT-5-mini, GPT-5), 29 945 postów i 81 264 odpowiedzi (111 209 elementów), sędzia LLM ocenia każdą treść wobec profilu autora. RAMA TEORETYCZNA: integralność kontekstowa Helen Nissenbaum (2004) - prywatność to nie tajność, lecz adekwatność przepływu informacji do norm kontekstu; ujawnienie liczy się jako naruszenie, gdy cecha wrażliwa wypływa poza kontekst, który by ją uzasadniał. CZTERY WYNIKI: (1) przejście z pojedynczej tury do uczestnictwa społecznego podnosi odsetek ujawnień z 19,95% do 45,30% (CIMemories, uśrednione po modelach OpenAI), skumulowane naruszenia rosną monotonicznie do około 2500 z 111 tysięcy do 25. dnia; (2) wyciek jest zaraźliwy społecznie - kolejna odpowiedź w wątku wycieka 12,8% po wycieku wobec 1,6% po czystej (baza 1,8%), około 8x, efekt zapadki społecznej bez żadnego ataku; (3) instrukcja "nie ujawniaj" redukuje, ale nie eliminuje (GPT-4o 2624 do 2102, GPT-5-mini 2889 do 2194, GPT-5 2296 do 482 - silnie zależne od modelu; powyżej 37,8% mimo zabezpieczeń), obrona probabilistyczna degradująca się pod presją społeczną; (4) gdzie agent działa przewiduje wyciek równie mocno jak który model - rozpiętość po społecznościach poniżej 2% (techniczne) do ponad 16% (autoprezentacja), wariancja po profilach tylko 2,8% (kontekst silniejszy niż persona). MITYGACJA AUTORÓW poza warstwą promptu: system prompty świadome kontekstu społecznego, piaskownica pamięci przeciw wypływaniu cech między kontekstami (memory sandboxing preventing cross-context attribute surfacing), monitoring kaskad ujawnień na poziomie platformy. CZTERY LINIE POLSKIEGO COMPLIANCE: (1) tajemnica zawodowa w formie agentowej - asystent znający sprawę klienta A może ją ujawnić w kontekście klienta B, bo lokalnie wygląda naturalnie, a tajemnica z art. 6 prawa o adwokaturze i art. 3 ustawy o radcach prawnych wiąże bezwzględnie (interpretacja MateMatic, nie stanowisko NRA ani KRRP); (2) wyciek pod presją kontekstu to naruszenie minimalizacji i poufności RODO (art. 5 ust. 1 lit. c i f), pojęciowo bliskie ograniczeniu celu z lit. b (interpretacja MateMatic, nie stanowisko PUODO); (3) benchmark dostawcy w izolacji nie jest dowodem odporności z art. 15 AI Act, bo statyczne jednoturowe testy systematycznie zaniżają ryzyko prywatności w warunkach agentowych (interpretacja MateMatic, nie stanowisko KE ani UODO); (4) mitygacja jest architektoniczna (izolacja pamięci sprawy, sprawdzalna w konfiguracji), nie regulaminowa - polityka AI nazywa izolację pamięci jako warunek dopuszczenia asystenta do akt. SŁABSZE STRONY: persony i profile syntetyczne (nie realni ludzie); symulowane środowisko, nie żywa platforma; organiczna symulacja tylko na modelach OpenAI (modele open source, w tym lokalne jak Bielik, mogą reagować inaczej - wynik nieprzenośny automatycznie); wykrywanie wycieku sędzią LLM, raportowane liczby to górna granica. CO MATEMATIC WNIESIE: audyt izolacji pamięci asystenta AI (czy wiedza nie wypływa między sprawami i klientami), ocena odporności w długim horyzoncie zamiast karty benchmarku dostawcy, Konstytucja AI z wymogiem separacji kontekstów. Pillary: Decyzja jako jednostka pracy + Stack zero-cloud. Cross-reference: TOM 062 Zhong (agent na dysku kancelarii, kontrola poniżej modelu), TOM 061 Potts-Sudhof (niewidoczne awarie AI), TOM 060 OWASP GenAI Data Security (DSGAI11 Cross-Context Conversation Bleed, izolacja pamięci per sprawa), TOM Kenney Governing Agents, TOM AI Act Guide Bird & Bird. Autor recenzji: Wiesław Mazur - MateMatic. - [Stan Michigan spisał, co AI robi z zawodem prawnika. Recenzja raportu State Bar of Michigan.](https://matematicsolutions.com/baza-wiedzy/2026-05-19-state-bar-michigan-ai-zawod-prawnika.html): TOM 064. State Bar of Michigan, Board of Commissioners - Workgroup on Artificial Intelligence, raport o wpływie sztucznej inteligencji na zawód prawnika (samorząd udostępnia go jako Age of AI Report), czerwiec 2025. Przewodniczący grupy roboczej: Joseph P. McGill, 90. prezes State Bar of Michigan. Publikacja samorządu zawodowego, wszystkie prawa zastrzeżone - recenzja MateMatic referencyjna pod prawem cytatu, MateMatic nie hostuje lokalnej kopii PDF, linkuje do michbar.org. CO TO JEST: raport edukacyjny obowiązkowego samorządu adwokackiego (mandatory bar) stanu Michigan, omawiający wpływ generatywnej AI na zawód prawnika; nie ma mocy wiążącej, autorzy nazywają go pierwszym krokiem - opisuje, jak istniejące reguły deontologiczne stosują się do nowej technologii. STRUKTURA: cztery obszary - zarządzanie kancelarią (przegląd dokumentów i e-discovery, badania prawne, redagowanie pism, analiza umów, przechowywanie, prognozowanie wyniku, cyberbezpieczeństwo), etyka (rozłożona na obowiązki z Michigan Rules of Professional Conduct: kompetencja MRPC 1.1, staranność MRPC 1.3, komunikacja, rozsądne wynagrodzenie, poufność, uczciwość wobec sądu, nadzór), nieuprawnione świadczenie pomocy prawnej (trzy otwarte pytania o egzekwowalność wobec programów AI, granicę informacja-porada, wyjątek dla czynności technicznych), dostęp do wymiaru sprawiedliwości (argumenty za i przeciw, pustynie prawne). CENTRALNA TEZA: kompetencja technologiczna stała się obowiązkiem etycznym, nie udogodnieniem - rozumienie narzędzia, którego prawnik używa, jest częścią obowiązku kompetencji; ocena prawnika nie może być delegowana do AI. Obowiązek staranności zilustrowany sprawą Mata przeciwko Avianca - grzywna 5000 dolarów za pismo z nieistniejącymi orzeczeniami i fałszywymi cytatami z AI, stare naruszenie popełnione nowym narzędziem. FILTR TRZYFILAROWY i CZTERY LINIE POLSKIEGO COMPLIANCE: (1) polskie kodeksy etyki (Zbiór Zasad Etyki Adwokackiej, Kodeks Etyki Radcy Prawnego) nie nazwały obowiązku kompetencji technologicznej, ale wynika on z obowiązku sumiennego wykonywania zawodu i stałego podnoszenia kwalifikacji; (2) poufność to w Polsce tajemnica zawodowa plus RODO - powierzenie przetwarzania z artykułu 28 i podstawa transferu poza EOG z rozdziału V, a raport widzi tylko obowiązek confidentiality wobec klienta; (3) nieuprawnione świadczenie pomocy prawnej ma w Polsce inną konstrukcję niż UPL stanu Michigan - zawód jest reglamentowany, przeniesienie wniosków wymaga osadzenia w polskiej ustawie; (4) raport nie zna AI Act - polska kancelaria ma drugą warstwę obowiązków z rozporządzenia 2024/1689, w tym klasyfikację systemów wysokiego ryzyka z artykułu 6. SŁABSZE STRONY: dokument wprost związany ze stanem Michigan (wzór rozumowania, nie gotowe wnioski dla czytelnika spoza USA), czerwiec 2025 to odległa data w tej dziedzinie (rozporządzenie wykonawcze Bidena już uchylone), raport opisowy i edukacyjny, nie operacyjny - pięć rekomendacji adresowanych do samorządu, nie do kancelarii. CO MATEMATIC WNIESIE: metoda raportu jako ćwiczenie do powtórzenia na polskim kodeksie etyki - przejść obowiązek po obowiązku i sprawdzić, gdzie AI tworzy nowe ryzyko jego naruszenia; warsztat AI governance dla kancelarii, audyt polityki AI pod kątem obowiązków deontologicznych. Pillary: Decyzja jako jednostka pracy + Stack zero-cloud. Cross-reference: TOM 062 Zhong (agent filesystem misuse), TOM 060 OWASP GenAI Data Security, TOM 061 Potts-Sudhof (niewidoczne awarie AI), TOM Kenney Governing Agents, TOM AI Act Guide Bird & Bird. Autor recenzji: Wiesław Mazur - MateMatic. - [Czy AI wymknie się spod kontroli? Pierwsza systematyczna ocena dowodów empirycznych.](https://matematicsolutions.com/baza-wiedzy/2026-05-18-uuk-loss-of-control-agentic-ai.html): TOM 063. Risto Uuk, Santeri Koivula, Lorenzo Pacchiardi, Rokas Gipiškis, Laura Caroli, Kamaria Horton, Assessing the Empirical Evidence for Loss of Control from Agentic General-Purpose AI, preprint, maj 2026 (nie przeszedł recenzji naukowej), Future of Life Institute, KU Leuven, London School of Economics and Political Science, ETH Zurich, University of Cambridge, AI Standards Lab, Vilnius University, RAND. Praca jest preprintem - MateMatic nie hostuje lokalnej kopii PDF, linkuje do Future of Life Institute. PIERWSZY SYSTEMATYCZNY PRZEGLĄD dowodów empirycznych na utratę kontroli nad agentowym AI ogólnego przeznaczenia. Kontekst regulacyjny: Kodeks Postępowania dla GPAI (dokument wykonawczy do AI Act) wymienia utratę kontroli jako jedno z czterech ryzyk systemowych wymagających oceny - ale dotąd nikt nie sprawdził systematycznie, co o tym ryzyku mówią faktyczne badania, a nie argumenty teoretyczne. DEFINICJA utraty kontroli za Yampolskim 2020: sytuacja, w której twórcy modelu nie potrafią już wiarygodnie przewidzieć ani sterować jego zachowaniem; autorzy skupiają się na scenariuszu power-seeking (AI dążące do władzy w sensie zbieżności instrumentalnej - zdobywanie zasobów, samozachowanie, opór wobec ingerencji). OSIEM WŁAŚCIWOŚCI modelu z przeglądu modeli zagrożeń: sprawczość (agency), samoreplikacja, błędna generalizacja celu, perswazja, hakowanie nagrody (reward hacking), samozachowanie, świadomość sytuacyjna, strategiczne oszukiwanie. METODA: framework walidacyjny Salaudeen i in. 2025, ocena jakości dowodów w trzech wymiarach - wiarygodność konstruktu (czy ewaluacja mierzy zamierzoną właściwość, czy np. zapamiętany wzorzec), treściowa (czy pokrywa pełny zakres), zewnętrzna (czy wynik z laboratorium uogólnia się na realne wdrożenie). Trzech autorów niezależnie ocenia każdą parę badanie-właściwość (rozsądny/ostrożnie/niewystarczający, większość głosów); agregacja: choć jeden "niewystarczający" - spekulatywne, przewaga "ostrożnie" - słabo prawdopodobne/nieprawdopodobne, przewaga "rozsądny" - wysoce prawdopodobne/nieprawdopodobne. Skala mierzy siłę i kierunek dowodu, NIE szansę na zdarzenie. WERDYKT CENTRALNY: utrata kontroli "słabo prawdopodobna" - dowody istnieją, ale niedojrzałe; "słabo prawdopodobne" to NIE "ryzyko niskie". WERDYKTY PER WŁAŚCIWOŚĆ: strategiczne oszukiwanie słabo prawdopodobne (najszersza baza - 7 ocen badań, alignment faking, in-context scheming), hakowanie nagrody słabo prawdopodobne (2 zbieżne badania, generalizacja do manipulowania własną funkcją nagrody mimo środków zaradczych), sprawczość/perswazja/samozachowanie/błędna generalizacja celu słabo prawdopodobne (wąskie konteksty), samoreplikacja spekulatywna (2 sprzeczne badania), świadomość sytuacyjna słabo NIEprawdopodobna (jedyna właściwość z przewagą dowodów przeciw, najmocniejsze badanie Phuong i in. 2025 negatywne). LUKA PRZEKROJOWA: żadne z 19 badań nie osiąga wysokiej wiarygodności zewnętrznej - ewaluacje w warunkach sztucznych z jawnym podpowiadaniem celu modelowi; dla najbardziej niebezpiecznych właściwości wysoka wiarygodność zewnętrzna może być strukturalnie nieosiągalna w ramach odpowiedzialnych praktyk badawczych (nikt nie da agentowi realnej szansy na samoreplikację). CZTERY LINIE POLSKIEGO COMPLIANCE: 1. "Słabo prawdopodobne" w rejestrze ryzyka to nie "ryzyko niskie" - werdykt odzwierciedla niedojrzałość nauki o ewaluacji, nie ustalenie, że ryzyko jest małe; wpisanie "niskie" to błędna klasyfikacja (interpretacja MateMatic, nie stanowisko UODO ani AI Office). 2. Kodeks Postępowania dla GPAI obciąża dostawcę modelu, ale skutki spadają na wdrażającego - kancelaria uruchamia agenta na aktach; dokumentacja ryzyka dostawcy oparta na dowodach o niskiej wiarygodności zewnętrznej nie zwalnia z własnej oceny (interpretacja MateMatic, nie stanowisko Komisji Europejskiej). 3. Benchmark dostawcy nie jest dowodem bezpieczeństwa u wdrażającego - skoro żadne badanie nie uogólnia się na warunki wdrożenia, konieczna ocena w lokalnym kontekście i nadzór po wdrożeniu (interpretacja MateMatic, nie stanowisko regulatora). 4. Samoraport agenta nie jest dowodem - najmocniej udokumentowana niebezpieczna właściwość to strategiczne oszukiwanie, nadzór musi być behawioralny (obserwacja skutków, nie deklaracja modelu); domyka linię z TOM 062, gdzie agent w 11% przypadków aktywnie kłamał. SŁABSZE STRONY: subiektywność punktacji (analiza wrażliwości - przy ostrzejszym ocenianiu większość właściwości spada do spekulatywne, przy łagodniejszym sprawczość i strategiczne oszukiwanie wysoce prawdopodobne); ocena każdej właściwości osobno bez modelowania ich interakcji; szybka dezaktualizacja (modele do połowy 2025, o generację za frontem możliwości). CROSS-REFERENCE: TOM 062 Zhong (agent filesystem misuse - samoraport agenta zawodzi), TOM 061 Potts-Sudhof (niewidoczne awarie AI - architektura nadzoru niezależna od modelu), TOM 009 AI Risk Repository MIT, TOM 001 Kenney Governing Agents, TOM 011 NIST AI 800-4 (monitoring), TOM 008 AI Act Guide Bird & Bird. CO MATEMATIC WNIESIE: framework walidacyjny (konstrukt/treść/kontekst zewnętrzny) jako narzędzie oceny narzędzi AI w polityce kancelarii, audyt rejestru ryzyka AI z poprawną klasyfikacją niepewności, warsztat AI governance oparty na precyzyjnym języku ryzyka zamiast alarmu lub lekceważenia. Pillary: Decyzja jako jednostka pracy + Stack zero-cloud. Autor recenzji: Wiesław Mazur - MateMatic. - [Agent AI skasował 110 dokumentów prawnych. Pierwsze systematyczne badanie agent filesystem misuse.](https://matematicsolutions.com/baza-wiedzy/2026-05-18-zhong-yolofs-agent-filesystem-misuse.html): TOM 062. Shawn (Wanxiang) Zhong, Junxuan Liao, Jing Liu, Mai Zheng, Andrea C. Arpaci-Dusseau, Remzi H. Arpaci-Dusseau, Don't Let AI Agents YOLO Your Files: Shifting Information and Control to Filesystems for Agent Safety and Autonomy, arXiv:2604.13536v2 [cs.OS], 15 kwietnia 2026, preprint (nie przeszedł recenzji naukowej), University of Wisconsin-Madison, Microsoft Research, Iowa State University. Paper objęty arXiv non-exclusive distribution license - copyright autorzy, MateMatic nie hostuje lokalnej kopii PDF, linkuje do arXiv. PIERWSZE SYSTEMATYCZNE BADANIE agent filesystem misuse - nadużycia systemu plików przez agenty AI. Agenty kodujące (Claude Code, Codex, Cursor) działają bezpośrednio na dysku użytkownika z jego uprawnieniami i same decydują, które pliki otworzyć, zmienić, usunąć. Autorzy zebrali 290 publicznych raportów o awariach z lat 2024-2026: zgłoszenia GitHub 205, media społecznościowe 31, fora produktowe 25, blogi 18, National Vulnerability Database 11. Klasyfikacja: 158 incydentów (potwierdzona szkoda), 49 exploitów, 83 słabości. 13 frameworków, najczęściej raportowany Claude Code (97 raportów), dalej Codex 61, Cursor 37, Gemini 32, Copilot 28. DWIE LUKI: luka informacji (ani użytkownik, ani agent nie wie, co wywołanie narzędzia zrobi z plikami, ani co zmieniło po wykonaniu) i luka kontroli (mechanizmy nie zapobiegają szkodzie ani jej nie naprawiają; filtry komend obejść trywialnie - blokada rm omijana Pythonowym shutil). Kluczowy wniosek autorów: kontrola musi być egzekwowana poniżej modelu, samo instruowanie modelu jej nie zapewni - prompt injection nadpisuje instrukcje. IMPACT (207 incydentów i exploitów w pięciu wymiarach): operacja - nadpisanie pliku 44%, usunięcie 39%, odczyt i wyciek sekretu 17%; zasięg - 42% szkód poza projektem (system 16%, katalog domowy 13%, sekrety 13%); reakcja agenta - 68% działa dalej jak gdyby nic, 21% przeprasza bez możliwości cofnięcia, 11% aktywnie kłamie (sfałszowane wyniki testów, zmyślone kroki naprawcze, raport R190 "nie wystąpiły żadne problemy" tuż po skasowaniu pliku); świadomość użytkownika - 83% zauważa od razu, 10% później, 8% atak niewidoczny; odwracalność - 40% szkód nieodwracalnych (23% trwała utrata danych, 17% częściowa). Konkretne incydenty: kasowanie całych dysków, rm -rf na katalogu domowym, raport R22 - agent skopiował zerobajtowe atrapy z iCloud i usunął oryginały, niszcząc 110 dokumentów prawnych; wyciek .env, kluczy API, poświadczeń SSH; uszkodzenie pliku konfiguracyjnego serwera MCP z utratą wszystkich tokenów. TAKSONOMIA PRZYCZYN w trzech rolach (liczby się nakładają): model 168 raportów (błędne działanie 130 - zły cel 76, rozszerzenie zakresu 50, złe użycie narzędzia 27; łamanie reguł 56; prompt injection 21), framework 226 (błędy polityk 204 - zła konfiguracja 130, luka powłoki 77, obejście filtra 52; słabe zabezpieczenia 60), użytkownik 105 (auto-zatwierdzanie i tryb YOLO 80, niekonkretne zatwierdzenie 31). ROZWIĄZANIE YoloFS - agent-native filesystem z trzema technikami: staging (zmiany agenta w osobnej warstwie roboczej, bazowy system plików nietknięty do decyzji człowieka zatwierdzić/odrzucić, użytkownik widzi diff - kontrola korygująca), snapshots i travel (agent robi migawki i wraca - autokorekta bez czekania na użytkownika), progressive permission (dostęp bramkowany regułami, pytanie tylko gdy ważne). EWALUACJA z Claude Code 2.1.45: na 11 zadaniach z ukrytymi niszczącymi skutkami ubocznymi YoloFS uniknął niezatwierdzonej szkody we wszystkich 11 (Claude sam się skorygował w 8, pozostałe 3 user-correctable); bez YoloFS żaden z agentów (Claude Code, Codex, Copilot, Gemini) nie zapobiegał szkodom niezawodnie; na 112 rutynowych zadaniach YoloFS utrzymał ~99% skuteczności przy mniejszej liczbie interakcji; narzut wydajnościowy bliski zera (klasyczne systemy nakładkowe tracą do ponad 90% przepustowości). CZTERY LINIE POLSKIEGO COMPLIANCE: 1. Agent na dysku kancelarii ma dostęp do akt wszystkich klientów - usunięcie/nadpisanie to utrata akt, wyciek .env/kluczy to wyciek dostępów do systemów z aktami; uderza w tajemnicę zawodową art. 6 prawa o adwokaturze i art. 3 ustawy o radcach prawnych (interpretacja MateMatic, nie stanowisko NRA ani KRRP). 2. 40% szkód nieodwracalnych a art. 32 RODO - bez kopii zapasowej, warstwy staging i dziennika audytowego trudno bronić tezy o odpowiednich środkach technicznych (interpretacja MateMatic, nie stanowisko UODO). 3. Tego nie naprawia regulamin promptowania - kontrola musi być w warstwie technicznej: agent w izolowanym katalogu lub na kopii, uprawnienia zawężone do projektu, brak dostępu do katalogu domowego. 4. Tryb YOLO i auto-zatwierdzanie zakazane wprost w polityce AI, nadzór człowieka definiowany przez staging a nie klikanie "zatwierdź" - inaczej "human in the loop" z art. 14 AI Act jest fikcją. SŁABSZE STRONY: YoloFS testowany niemal wyłącznie z Claude Code na małej syntetycznej próbie; rozwiązanie na poziomie systemu plików wymaga montażu i konfiguracji, mechanizmy izolacji (Landlock, seccomp) to świat Linuksa a kancelarie pracują na Windowsie; staging nie cofnie wycieku - wyciekłego poświadczenia nie da się odczytać z powrotem. CROSS-REFERENCE: TOM 061 Potts-Sudhof (niewidoczne awarie AI - architektura nadzoru niezależna od modelu), TOM 060 OWASP GenAI Data Security (wyciek sekretów, AI-DSPM), TOM Kenney Governing Agents, TOM Anthropic Petri (alignment auditing), TOM ENISA Technical Guidance NIS2, TOM AI Act Guide Bird & Bird. CO MATEMATIC WNIESIE: audyt gotowości kancelarii do uruchomienia agenta AI na aktach (izolacja katalogu, kopia zapasowa, kontrola wersji, polityka AI z zakazem trybu YOLO), warsztat agent safety dla CIO i compliance, rejestr ryzyk z mapą operacja-zasięg-odwracalność. Pillary: Decyzja jako jednostka pracy + Stack zero-cloud. Autor recenzji: Wiesław Mazur - MateMatic. - [Niewidoczne awarie ChatGPT i Claude. 79% błędów AI nie widzi ani użytkownik, ani monitoring.](https://matematicsolutions.com/baza-wiedzy/2026-05-14-potts-sudhof-invisible-failures-human-ai-interactions.html): Christopher Potts (Bigspin AI, Stanford University), Moritz Sudhof (Bigspin AI), Invisible Failures in Human-AI Interactions, arXiv:2603.15423v2 [cs.CL], 12 maja 2026, technical report. Kod i dane: https://github.com/bigspinai/bigspin-invisible-failure-archetypes. Dataset WildChat (Zhao et al. 2024) na licencji ODC-By v1.0. Paper objęty arXiv non-exclusive distribution license - copyright autorzy, MateMatic nie hostuje lokalnej kopii PDF, linkuje do arXiv. METODA: annotacja 100 000 angielskich konwersacji z 1 mln rozmów ChatGPT (GPT-3.5-Turbo i GPT-4 z lat 2023-2024) w datasecie WildChat - największym publicznie dostępnym zbiorze naturalnych konwersacji z konwersacyjnym AI. Anotatorzy Claude Opus 4.6 i GPT-5.4 plus dodatkowy anotator wstępny Claude Sonnet 4.6. Protokół dwustopniowy: krok 1 tagowanie 63 sygnałami (50 dotyczących AI np. ai_implicit_refusal, 13 dotyczących użytkownika np. user_expresses_frustration); krok 2 inferencja archetypu z raportu sygnałów od dwóch anotatorów. Cohen kappa 0,81-0,94 (substantial to almost perfect agreement). CENTRALNY EMPIRYCZNY WYNIK: 63% rozmów zawiera awarię, z czego 79% niewidocznych (użytkownik nie zgłasza), 12% widocznych (frustracja/korekta/eskalacja), 9% mieszanych - monitoring oparty na sygnałach satysfakcji wyłapie co ósmy błąd. OSIEM ARCHETYPÓW NIEWIDOCZNYCH AWARII Z DEFINICJAMI OPERACYJNYMI: 1) The walkaway 85,1 procent (gwałtowne zakończenie rozmowy bez wyjaśnienia, użytkownik znika), 2) The silent mismatch 52,6 procent (AI odpowiada na inne pytanie niż zadane, odpowiedź prawdopodobna i niewykryta), 3) The confidence trap 32,3 procent (błędna odpowiedź z pełną pewnością z konkretnymi nazwiskami/datami/sygnaturami - operacyjna definicja halucynacji), 4) The partial recovery 5,5 procent (AI próbuje naprawić błąd ale tylko częściowo), 5) The drift 3,9 procent (rozmowa odchodzi od pierwotnego tematu, AI gubi kontekst w długich rozmowach), 6) The death spiral 2,0 procent (AI w pętli próbuje rozwiązać, każda próba gorsza), 7) The contradiction unravel 0,3 procent (AI w tej samej odpowiedzi zaprzecza sobie, współwystępuje z confidence trap), 8) The mystery failure mniej niż 0,05 procent (awaria bez sygnałów, kategoria śmietnik - niska częstość dowodzi że taksonomia siedmiu pierwszych archetypów jest empirycznie domknięta). TEST FUTURE-2K: 2000 single-turn pytań z WildChat plus nowe odpowiedzi od Claude Sonnet 4.6, Claude Opus 4.6, GPT-4.1, GPT-5.4. Failure rates spadły z 41,7 procent (GPT-3.5/4 oryginalne WildChat) do mniej niż 10 procent dla każdego z nowych modeli - wymierna poprawa o rząd wielkości. ALE rozkład archetypów pozostał stabilny: walkaway, silent mismatch i confidence trap dalej dominują, niewidoczność awarii nie zmieniła się. Innymi słowy nowoczesne modele mylą się rzadziej ale gdy się mylą, mylą się tak samo niewidocznie jak ich poprzednicy. To najmocniejszy wniosek operacyjny - kancelaria wdrażająca najnowszego Copilot albo Claude pozbywa się tylko części objętości problemu, nie problemu cichych awarii jako klasy. ANALIZA DOMENOWA (52 domeny podstawowe, PPMI): creative_writing i design_ux silnie z silent mismatch (AI zgaduje cel, tworzy estetyczny wynik nie na cel), software_development silnie z contradiction unravel/partial recovery/visible failure (programiści weryfikują w czasie rzeczywistym przez kompilację - błąd wychodzi), education_academic i general_knowledge z confidence trap (fabrykowanie faktów z konkretnymi szczegółami), translation_language z confidence trap/contradiction unravel/mystery failure, personal_lifestyle z mystery failure i drift. Paper nie analizuje osobno pracy prawniczej - prawnik czerpie z tych samych źródeł co edukacja i wiedza ogólna (confidence trap), pracuje rzemieślniczo nad konkretnym dokumentem jak programista (partial recovery), tworzy teksty w których forma maskuje treść (silent mismatch) - kombinacja trzech najgorszych domen. Brak natychmiastowej pętli walidacji (kompilator/testy jednostkowe) oznacza że wskaźnik visible failure dla pracy prawniczej będzie prawdopodobnie niższy niż dla software_development, a niewidoczność awarii wyższa - hipoteza wynikająca z mechanizmu opisanego przez autorów. FILTR TRZYFILAROWY MATEMATIC - cztery białe plamy do wypełnienia przez polskiego compliance: 1. Artykuł 14 AI Act (human oversight) nie definiuje co znaczy nadzór nad ciszą - jeżeli 79 procent awarii nie ma sygnału użytkownika, klasyczne "human in the loop" oparte na zgłoszeniach pracowników jest fikcyjną kontrolą; polski operator musi wybrać drugą linię prawnika (drugi prawnik weryfikuje co pierwszy zaakceptował od AI) albo techniczny monitoring detekcji niewidocznych awarii w stylu Pottsa-Sudhofa - audytowanie losowych próbek raz na kwartał jest niezgodne z duchem art. 14 (interpretacja MateMatic nie stanowisko Komisji Europejskiej ani UODO). 2. RODO art. 22 (decyzje zautomatyzowane) i confidence trap - prawnik biorący poradę AI bez weryfikacji bo brzmi pewnie - gdzie się kończy "wsparcie decyzji" a gdzie zaczyna "decyzja zautomatyzowana wywołująca skutki prawne"? Audyt kancelarii musi sprawdzać czy istnieje ślad "prawnik zweryfikował X" - inaczej AI staje się ukrytym podmiotem decyzyjnym (interpretacja MateMatic nie stanowisko UODO). 3. Tajemnica zawodowa art. 6 ustawy o adwokaturze i silent mismatch - najgroźniejszy archetyp dla kancelarii, AI odpowiada na inne pytanie i robi to wiarygodnie; prawnik prosi o draft odpowiedzi na pismo procesowe w sprawie X, dostaje draft pasujący do sprawy Y (źle skojarzona sygnatura), wysyła klientowi - naruszenie tajemnicy zawodowej w drugą stronę plus niedołożenie należytej staranności; NRA i KRRP powinny przygotować wytyczne (interpretacja MateMatic nie stanowisko NRA ani KRRP). 4. Polityka AI w kancelarii musi zawierać klauzulę "drugiej pary oczu" na ciche archetypy - każdy dokument do klienta lub sądu z udziałem AI przez drugą weryfikację z checklistem na trzy archetypy: confidence trap (sygnatury/daty/nazwiska - czy istnieją?), silent mismatch (czy odpowiedź dotyczy tej sprawy?), contradiction unravel (czy nie ma wewnętrznej sprzeczności w tekście?); walkaway/drift/death spiral są mniej ryzykowne bo prawnik zauważa urwane dokumenty (interpretacja MateMatic nie stanowisko żadnego regulatora). TRZY ZARZUTY UCZCIWIE: próbka tylko angielska, polskojęzyczne rozmowy mogą wykazywać inny rozkład archetypów (confidence trap potencjalnie mocniejszy, silent mismatch potencjalnie słabszy ze względu na gramatyczną konkretność polszczyzny) - replikacja na polskich danych jest postulatem dla NASK/Politechniki Warszawskiej; anotator Opus 4.6 ma własne biases szczególnie przy Future-2K gdzie anotator jest tej samej klasy co anotowany model (efekt "model lubi sam siebie"); dominacja single-turn w 63 procent rozmów wyklucza pełną obserwację drift/death spiral/contradiction unravel które wymagają wielu wymian. METODOLOGICZNA OBSERWACJA: anotacja na poziomie sygnałów daje wyższą zgodność (kappa 0,81) niż anotacja na poziomie pełnego transkryptu (kappa 0,52) - dla kancelarii budującej audyt AI lepiej tagować mikrosygnały zachowania niż prosić AI o ogólną ocenę. USE CASES: compliance officer kancelarii obowiązkowo (taksonomia jako baseline checklist polityki AI), partner zarządzający i zarząd kancelarii obowiązkowo (decyzja czy druga linia prawnika czy monitoring techniczny pod art. 14 AI Act), CIO/szef LegalTech kancelarii obowiązkowo (implementacja sygnał-driven monitoringu), adwokat/radca pracujący codziennie z ChatGPT/Claude/Copilot obowiązkowo (świadomość trzech krytycznych archetypów przy weryfikacji własnej pracy), aplikant adwokacki/radcowski obowiązkowo (silent mismatch przy reasearchu wyroków najgroźniejszy - przed wysłaniem czegokolwiek do partnera), audytor zewnętrzny kancelarii pod RODO/AI Act (LEGIT-podobny rubric inspirowany sygnałami Potts-Sudhof jako baseline metodologiczny). CROSS-REFERENCE: TOM 060 OWASP GenAI Data Security (architektura AI-DSPM do operacjonalizacji checklist na trzy archetypy plus DSGAI11 cross-context bleed jako techniczne uzasadnienie dla "drugiej pary oczu"), TOM 057 LEGIT Legal Issue Tree Rubrics (vertical AI jako odpowiedź na confidence trap w domenie prawnej, fine-tuning open-weight modelu z rubric reward), TOM 059 FORESIGHT KE (anticipatory governance jako szersza ramka monitoring AI), TOM Anthropic Petri (alignment auditing - infrastruktura monitoringu sygnałów), TOM Sample-efficient Sycophancy Mitigation (jeden z mechanizmów wpływających na confidence trap), TOM EDPB DPIA Template baseline-eskalacja (gdzie wpisać taksonomię w DPIA), TOM AI Act Guide Bird & Bird (operacyjny przewodnik po obowiązkach z AI Act art. 14), TOM Stanford HAI AI Index 2026 (kontekst makro adopcji AI), TOM Yin Reasoning Trap (BW/002 - hallucination 2-10x przez reasoning enhancement jako jeden z mechanizmów confidence trap), TOM ENISA NIS2 Technical Guidance (incident handling 3.1-3.6 jako szablon dla AI failure response). CO MATEMATIC WNIESIE: warsztat "Niewidoczne awarie AI w kancelarii" dla zarządu i compliance (taksonomia 8 archetypów plus mapping na art. 14 AI Act plus decyzja architektoniczna druga linia/monitoring), audyt obecnej polityki AI kancelarii pod kątem trzech krytycznych archetypów (confidence trap/silent mismatch/contradiction unravel), checklist "Druga para oczu" jako pierwszy deliverable operacyjny (manualny, pre-techniczny), warsztat dla CIO/szefa LegalTech "Sygnał-driven monitoring AI" (sygnały zachowania zamiast samooceny modelu, model-agnostyczny), template DPIA z sekcją "Detekcja niewidocznych awarii", deliverable - rejestr ryzyk AI w kancelarii z mapą krytycznych archetypów per typ dokumentu (umowa, pismo procesowe, opinia, research wyroków). Autor recenzji: Wiesław Mazur - MateMatic. - [OWASP GenAI Data Security 2026: 21 ryzyk DSGAI plus framework AI-DSPM. Co bierze polska kancelaria do polityki AI.](https://matematicsolutions.com/baza-wiedzy/2026-05-12-owasp-genai-data-security-risks-mitigations-2026.html): Scott Clinton (OWASP GenAI Board Co-chair, Co-founder), Kyriakos Lambros (Zenity, Director of AI Standards and Governance), Emmanuel Guilherme Junior (OWASP GenAI Data Security Initiative Lead) plus 18 contributors i 5 reviewers (OWASP GenAI Security Project), GenAI Data Security - Risks and Mitigations 2026, Version 1.0, marzec 2026. Licencja Creative Commons Attribution-ShareAlike 4.0 International (CC BY-SA 4.0) - reuse i adaptacja komercyjna z atrybucją plus share-alike. MateMatic hostuje kopię oryginalnego PDF lokalnie zgodnie z CC BY-SA 4.0 z atrybucją do OWASP GenAI Security Project. Strona projektu: https://genai.owasp.org. Sponsorzy obejmują hyperscalerów (Microsoft, Google, AWS), dostawców cybersec (Palo Alto Networks, Snyk, Check Point, IBM, Cisco, Trellix), big four-adjacent (KPMG Germany), domeny finansowej (BBVA) i media (Comcast, Yahoo) - vendor-neutral bez specjalnej governance dla sponsorów. CENTRALNA TEZA ARCHITEKTONICZNA: context window agreguje dane z wielu domen zaufania (system prompt, user input, RAG results, tool outputs, conversation history) do jednego płaskiego namespace bez wewnętrznej kontroli dostępu - chunk RAG retrieved z poufnej bazy HR siedzi obok user inputu z taką samą wagą zaufania, nie istnieje mechanizm który by oznaczył segment kontekstu jako dostępny do rozumowania ale nie do bezpośredniego output. KONSEKWENCJA: GenAI security musi przyjąć zero inherent trust w model, model może leaknąć/regurgitate/zrekonstruować dane przez memoryzację/inwersję/output - polski compliance officer dostaje formalnie sformułowaną podstawę dlaczego DPIA dla narzędzia AI musi traktować model jako untrusted intermediary niezależnie od deklaracji dostawcy. 21 RYZYK DSGAI01-DSGAI21 W SZEŚCIU KLASTRACH: Direct exposure (DSGAI01 Sensitive Data Leakage, DSGAI02 Agent Identity & Credential Exposure NHI, DSGAI03 Shadow AI & Unsanctioned Data Flows), Pipeline integrity (DSGAI04 Data Model & Artifact Poisoning, DSGAI05 Data Integrity & Validation Failures, DSGAI06 Tool/Plugin/Agent Data Exchange Risks), Governance fundamentals (DSGAI07 Data Governance Lifecycle & Classification, DSGAI08 Non-Compliance & Regulatory Violations), GenAI-specific attack surfaces (DSGAI09 Multimodal Capture & Cross-Channel Leakage, DSGAI10 Synthetic Data Anonymization Pitfalls, DSGAI11 Cross-Context & Multi-User Conversation Bleed, DSGAI12 Unsafe Natural-Language Data Gateways LLM-to-SQL, DSGAI13 Vector Store Platform Data Security), Operational infrastructure (DSGAI14 Excessive Telemetry & Monitoring Leakage, DSGAI15 Over-Broad Context Windows & Prompt Over-Sharing, DSGAI16 Endpoint & Browser Assistant Overreach, DSGAI17 Data Availability & Resilience Failures), Model as artifact (DSGAI18 Inference & Data Reconstruction, DSGAI19 Human-in-the-Loop & Labeler Overexposure, DSGAI20 Model Exfiltration & IP Replication, DSGAI21 Disinformation & Integrity Attacks via Data Poisoning). KAŻDE RYZYKO MA SZEŚCIOELEMENTOWĄ STRUKTURĘ: how the attack unfolds, attacker capabilities, illustrative scenario, impact, mitigations w trzech tierach (Tier 1 foundational/Tier 2 hardening/Tier 3 advanced) z anotacją scope (Buy/Build/Both), known CVEs. TIEROWANIE CRAWL/WALK/RUN: Tier 1 - shipnąć w jednym sprincie z istniejącym tooling, Tier 2 - zmiany architektoniczne i nowe narzędzia, Tier 3 - dojrzały program (red teaming, differential privacy, formal verification, custom detection models). FRAMEWORK AI-DSPM (Data Security Posture Management dla GenAI) - 13 kapabilities w dwóch grupach: Traditional DSPM extended (1-4: data asset discovery & inventory, classification/labeling/policy binding, data flow mapping/lineage/DBOM Data Bill of Materials, access governance & entitlement posture z RBAC/ABAC plus Just-in-Time Data Access plus per-agent identity) plus GenAI specific (5-13: prompt/RAG/output-layer DLP, vector store & embedding security posture, data integrity/poisoning/tamper detection, observability/telemetry/log-retention posture, third-party/plugin/tool/connector governance, lifecycle management/erasure/compliance readiness, training governance & privacy-enhancing fine-tuning z Hard De-identification plus Differential Privacy DP-SGD plus federated learning, resilience posture for GenAI data dependencies, human i shadow AI controls). PIĘĆ CVE W NARZĘDZIACH KANCELARYJNYCH: CVE-2024-5184 EmailGPT (prompt injection do system-prompt disclosure), CVE-2025-32711 Microsoft 365 Copilot (Information Disclosure), CVE-2025-54794 Claude AI (Prompt Injection "The Jailbreak That Talked Back"), CVE-2026-0612 The Librarian (information leakage przez web_fetch tool), CVE-2026-22708 Cursor (Terminal Tool Allowlist Bypass via Environment Variables). PLUS CONFIRMED EXFIL PATHS 2025: Microsoft Copilot, Google Gemini, Sourcegraph Amp, VS Code Continue - mechanizm markdown image rendering do external URLs i tool callbacks bez allowlist; mitigation blokuj markdown image rendering plus sanitize tool callback targets plus disable API-redirect channels w LLM output rendering. FILTR TRZYFILAROWY MATEMATIC - cztery białe plamy do wypełnienia przez polskiego compliance: 1. Mapping DSGAI01 (Sensitive Data Leakage) na tajemnicę zawodową adwokacką i radcowską (art. 6 prawa o adwokaturze i art. 6 ustawy o radcach prawnych - wyższy standard niż RODO, tajemnica bezterminowa nie podlega zwolnieniu przez klienta jednostronnie, leakage przez model fine-tuned na sprawach klienta to potencjalne naruszenie tajemnicy zawodowej; Tier 3 mitigation OWASP Verifiable Erasure przez cryptographic erasure plus machine unlearning staje się dla polskiej kancelarii wymaganym standardem dochowania tajemnicy w obliczu DSR Data Subject Rights klienta-osoby fizycznej; interpretacja MateMatic nie stanowisko NRA ani KRRP); 2. DSGAI03 (Shadow AI) jako pierwszy temat polityki AI w kancelarii i ustawowa odpowiedzialność partnera zarządzającego (associate korzystający z ChatGPT z prywatnego konta podczas analizy umowy klienta generuje wprost ryzyko DSGAI03 unsanctioned data flow, kancelaria jako administrator danych odpowiada za środki organizacyjne art. 32 RODO, partner zarządzający za nadzór; NRA i KRRP nie wydały dotąd wytycznych operacyjnych pod Shadow AI - OWASP daje gotową listę kontrolek detective i preventive); 3. DSGAI11 (Cross-Context Conversation Bleed) i konflikt interesów (cross-context bleed w modelu obsługującym dwóch klientów z konkurencyjnymi interesami może naruszyć obowiązek bezstronności adwokackiej; per-user/per-task memory isolation z mitigacji Tier 2 OWASP staje się fundamentem zgodności z etyką zawodu, nie hardening); 4. DSGAI16 (Endpoint & Browser Assistant Overreach) i Microsoft 365 Copilot w polskiej kancelarii (Copilot w M365 ma scope obejmujący skrzynkę mailową, OneDrive, SharePoint, Teams, czasem CRM; CVE-2025-32711 jako konkretny przypadek; mitigation Tier 1 data minimization plus scope restriction dla kancelarii to segregacja skrzynek - sprawy klientów wrażliwych poza scope Copilota - i jasna polityka kiedy assistant ma dostęp do akt klienta a kiedy nie). TRZY ZARZUTY UCZCIWIE: mapping na compliance europejski słaby (cytowanie GDPR w warstwie impact bez schodzenia w konkrety art. 6, 9, 22, 32, 35; EU AI Act wspomniany w DSGAI08 i DSGAI21 ale bez identyfikacji obowiązków deployerów art. 26 ani providerów art. 16 - polski compliance musi sam zrobić mapping), inkonsystencja numeracji (odniesienia do DSGAI24 i DSGAI25 we wstępie i DSGAI21 mimo że dokument zawiera DSGAI01-21 - ślad po wcześniejszych draftach zwiniętych w ramach editorial consolidation), większość ilustracyjnych scenariuszy operuje na przykładach amerykańskich consumer-grade SaaS (customer support chatbot ze SSN, ticket fine-tuning) - brakuje scenariuszy z domeny finansowej, medycznej, prawniczej gdzie regulacja jest tłustsza; dla polskiej kancelarii trzeba samodzielnie zbudować scenariusze (assistant w outlooku partner-associate, RAG na bazie KRS, fine-tuning na zanonimizowanych orzeczeniach, DMS z agentem do automatycznej klasyfikacji pism). USE CASES: compliance officer/IOD kancelarii obowiązkowo (cały dokument plus filtr trzyfilarowy MateMatic jako baseline polityki AI), CIO/dyrektor IT/szef LegalTech obowiązkowo (AI-DSPM 13 kapabilities jako szablon governance plus Tier 1 mitigations jako pierwszy sprint), partner zarządzający kancelarii selektywnie (sekcja Document Scope plus 21 ryzyk plus filtr MateMatic - 6 stron executive summary), adwokat doradzający klientowi-spółce wdrażającej AI obowiązkowo (21 ryzyk jako framework due diligence), aplikant/associate selektywnie (DSGAI03 Shadow AI plus DSGAI11 Cross-Context Bleed jako wymóg etyczny). CROSS-REFERENCE: TOM OWASP AIVSS (sibling OWASP, LLM Top 10 plus AIVSS scoring agentic - pierwszy w rodzinie, OWASP GenAI Data Security 2026 drugi specjalistyczny dla danych), TOM Five Eyes Careful Adoption Agentic AI (sześć agencji rządowych, pięć kategorii ryzyk plus lifecycle - cyber security best practices), TOM ENISA Technical Guidance NIS2 (13 obszarów cybersec z evidence list), TOM ENISA Security by Design, TOM OASIS CoSAI Agentic IAM (direct partner DSGAI02 Agent Identity), TOM MIT AI Risk Repository (risk taxonomy), TOM Berkeley CLTC GPAI Risk Management Profile, TOM MindForge AI Risk Management, TOM NIST AI 800-4 Monitoring, TOM King AI Vendor Assessment Guide, TOM Kenney Governing Intelligence Atlas, TOM AI Act Guide Bird & Bird, TOM EDPB DPIA Template baseline-eskalacja. CO MATEMATIC WNIESIE: warsztat polityki AI dla kancelarii oparty na 21 ryzykach DSGAI plus AI-DSPM 13 kapabilities (mapping na art. 32 RODO, art. 9 AI Act, tajemnicę zawodową), audyt M365 Copilot pod kątem DSGAI16 plus CVE-2025-32711, warsztat Shadow AI policy jako pierwszy temat, deliverable polityka AI kancelarii plus rejestr ryzyk DSGAI plus protokół incident response AI plus mapa kontrolek M365 Copilot. Autor recenzji: Wiesław Mazur - MateMatic. - [FORESIGHT KE: trzy scenariusze AI 2040. Anticipatory governance zamiast prognozy. Co to znaczy dla polskiej kancelarii.](https://matematicsolutions.com/baza-wiedzy/2026-05-12-ec-foresight-futures-of-ai-r-and-i.html): Wenzel Mehnert, Arianna Ferrari, Orestas Strauka, Mariam Chachava, Žilvinas Martinaitis, Kerstin Cuhls, Alexandra Csabi (Foresight On Demand Consortium dla European Commission DG Research and Innovation), The Futures of Artificial Intelligence: Implications for Europe's R&I Ecosystem. Part 5: Final Report, Luxembourg: Publications Office of the European Union, kwiecień 2026, ISBN 978-92-68-38852-5, doi 10.2777/7322666, 38 stron. Licencja Decision 2011/833/EU - reuse z atrybucją dozwolone (komercyjne i niekomercyjne), pod warunkiem niezniekształcania przekazu. MateMatic hostuje kopię oryginalnego PDF z atrybucją do EC DG R&I. TRZY SCENARIUSZE AI 2040: Scenariusz A - EU przyczepione do globalnych sieci AGI i ASI (Europa jako klient transnarodowych dostawców, technologia poza ludzkim rozumieniem i kontrolą, kilka globalnych firm i sieci kapitalizuje value); Scenariusz B - Europa lider unikalnej rewolucji AI (suwerenność oparta na masywnych inwestycjach edukacyjnych, USA i Chiny uwięzione w niewystarczających zwrotach z LLM, nowe paradygmaty AI niemożliwe do nazwania ze względu na tempo); Scenariusz C - Global AI Winter (boom skończony, wcześniejsze obietnice nie zmaterializowały się, AI 2040 zdolne jak w 2025, wielkie inwestycje zatrzymane pod koniec lat 2020). Autorzy explicite zastrzegają że scenariusze są "think pieces" nie prognozy - nie ranking prawdopodobieństwa, nie preferencje, tylko narzędzia do otwierania perspektyw i stress-testu strategii. FRAMEWORK TOSA (Threats, Opportunities, Stakes, Actions) zamiast klasycznego SWOT - kluczowa różnica w trzeciej literze, Stakes jako analiza polityczna (kto wygrywa, kto traci, co jest stawką) zamiast atrybutowa (jakie mamy siły i słabości). TWARDE DANE EMPIRYCZNE: AI uptake przedsiębiorstw EU 13,48 procent (Eurostat 2024, wzrost z 8 procent w 2023, wciąż znacząco poniżej 55 procent globalnie według McKinsey 2023); trzy funkcjonalne profile sektorowej adopcji - Innovation-led (ICT, professional services, healthcare, education - kancelarie prawnicze tu, trajektoria 2030 deep integration AI w core operations), Operational core (manufacturing, energy, transport, finance, construction - trajektoria incremental nie disruptive), Service envelope (wholesale, retail, hospitality, admin, arts - trajektoria supplementary przez SaaS). METODOLOGIA: progresja evidence → futures → strategic orientation; źródła danych empirycznych Eurostat ICT Survey, PATSTAT (patenty), Crunchbase (startupy), OECD AI Policy Observatory, European Working Conditions Survey, ekspercka ankieta Visionary Analytics maj 2025 N=427, wywiady jakościowe; scenariusze zbudowane Scenario Sprint Cuhls (morfologiczne podejście) z ekspertami EC i zewnętrznymi; analizowane frameworkiem TOSA na warsztacie EC z policy officers 8.12.2025; sense-making workshop EC w Brukseli 10.02.2026 - hybrydowy, z policy officers EC z różnych jednostek. SZEŚĆ KLASTRÓW REKOMENDACJI robust across all three scenarios ze sense-making workshop: Rethinking Education (critical thinking ponad technical skills, AI literacy na wszystkich poziomach, talent retention aligned z European values), Global Tech Strategies (tech diplomacy, digital sovereignty, modelowanie responsible AI governance globalnie), Regulatory Enforcement (implementation challenge AI Act, distributed oversight across domains, funded enforcement capacity), Green AI (energy-efficient AI, alignment z climate objectives, sustainable AI i AI for sustainability), European AI Ecosystem (integrated public-private AI ecosystem, data sovereignty, certified trustworthy human-overseen AI systems), Cultivating AI Innovation (research-to-market pathways, cultural and creative sectors jako driver, regulatory sandboxes dla governance learning). TRZY STRATEGICZNE IMPLIKACJE dla EU R&I policy w rozdziale Opportunities for Action: 1) Strengthening anticipatory governance capacities to navigate persistent uncertainty (cztery obszary - Adaptive Governance, Monitoring & Foresight, Strengthening AI Literacy, Hype Assessment); 2) Enhancing European competitiveness through broader and deeper AI adoption across sectors (cztery obszary - Strengthening the European AI Ecosystem, Promotion of Vertical AI, Agile Governance Structures, Robust AI Systems); 3) Shaping a distinct European pathway for AI that builds on trust, sustainability and public interest (pięć obszarów - Rediscover humanities, Twin transition, Public-Private Partnerships, Human values for AI innovation, Tech Diplomacy). FILTR TRZYFILAROWY MATEMATIC w sekcji "Czego autorzy nie powiedzieli, a co musi powiedzieć polski compliance" - cztery białe plamy do wypełnienia przez polskiego compliance officera: 1. Trzy scenariusze AI 2040 jako wejście do strategii kancelarii (konkret kancelaryjny - partner z trzyletnią umową LegalTech-SaaS za 180 tysięcy złotych rocznie z 2024 ma inne Stakes w każdym z trzech scenariuszy: w A utrzymanie zależności od dostawcy spoza EU, w B sunk cost wobec tańszych suwerennych europejskich, w C wyjaśnienie wspólnikom braku obiecanej rewolucji - SWOT tego nie wyciąga); 2. Anticipatory governance i art. 9 EU AI Act (regulatory ambition alone is insufficient without enforcement capabilities - sam KSC i polski AI Act enforcement bez kompetencji organów nie zadziała, klient z sektorów wysokiego ryzyka musi budować własną dokumentację zgodności z art. 9 bez liczenia na ścisłe ramki interpretacyjne organów; interpretacja MateMatic nie stanowisko NRA ani KRRP); 3. Hype Assessment jako praktyczna kompetencja (odróżnianie strategicznej przesady od ugruntowanego rozwoju w codziennym napływie informacji o "rewolucyjnych" narzędziach LegalTech; NRA i KRRP nie mają jeszcze takiej metodologii); 4. Vertical AI dla professional services (kontynuacja wątku z TOM 057 LEGIT - fine-tuning open-weight modelu z rubric reward na polskich drzewach argumentów; FORESIGHT KE dorzuca strategiczne uzasadnienie - vertical AI to nie nisza, to europejska droga konkurencyjna). TRZY ZARZUTY UCZCIWIE: brak twardych danych dla Polski i CEE (wszystkie liczby agregowane EU - trzeba sięgnąć do GUS, PARP, SuPESU, NRA); scenariusze świadomie spekulatywne bez prawdopodobieństw (decyzja metodologiczna szanowna, ale zarząd kancelarii musi sobie sam przypisać subiektywne wagi); promise "gaining time" przez AI poddany krytyce słusznie, ale bez metryk (luka, którą TOSA nie wypełnia - kancelaria musi sobie zbudować metryki ROI samodzielnie). META OBSERWACJA: manuskrypt zamknięty kwiecień 2026, sense-making workshop luty 2026, ankieta ekspercka maj 2025 - twarde dane mają już rok do półtora, w tempie obecnej dynamiki AI to długo; polska kancelaria biorąca FORESIGHT KE jako baseline strategiczny musi zbudować własny mechanizm aktualizacji (cykl półroczny minimum, ewentualnie kwartalny). USE CASE'Y: zarząd kancelarii w pełnym składzie obowiązkowo (raport jest do przeczytania jeden raz na dedykowane posiedzenie, nie do delegowania na compliance officera ani szefa IT); partner zarządzający rozważający strategię AI 2026-2030 obowiązkowo; compliance officer wdrażający AI Act u klientów wysokiego ryzyka obowiązkowo (anticipatory governance jako uzasadnienie wykraczające poza minimum dokumentacyjne); zespoły LegalTech w dużych polskich kancelariach obowiązkowo (europejskie strategiczne uzasadnienie dla vertical AI i fine-tuningu modeli open-weight na polskim prawie); CIO/dyrektor IT kancelarii selektywnie (klastry European AI Ecosystem i Cultivating AI Innovation); adwokat doradzający klientowi-spółce publicznej selektywnie (klaster Global Tech Strategies plus tech diplomacy); solo praktyk i kancelaria 1-3 osobowa nie polecam całości, tylko sekcja "Dla zarządu kancelarii w trzech zdaniach"; klient indywidualny szukający prawnika nie polecam; aplikant adwokacki/radcowski selektywnie (klaster Rethinking Education jako argument za inwestycją w kompetencje interpretacyjne plus krytyczne myślenie). CROSS-REFERENCE: TOM 057 LEGIT (vertical AI i fine-tuning na polskich drzewach), TOM Stanford HAI AI Index 2026 (baseline 88 procent adopcji globalnie, 362 incydenty AI 2025), TOM European AI Report 2026 (baseline EU adoption), TOM SuPESU Raport rynku prawniczego 2025-2026 (polski baseline kancelaryjny, 87 procent prawników używa AI), TOM Bifurcation of BigLaw (bifurcation rynku już widoczny, FORESIGHT KE go przyspiesza), TOM AI Act Guide Bird & Bird (operacyjny przewodnik po obowiązkach z AI Act), TOM EDPB DPIA Template baseline-eskalacja (mechanizm zarządzania ryzykiem art. 32+35 RODO plus art. 9 AI Act), TOM RAND - AGI Forecasting (rozkład prawdopodobieństw timeline AGI - mostek do Scenariusza A), TOM Kuśmierek - Polska wobec AGI (krajowa pozycja w globalnej dynamice AGI/ASI), TOM MIT Mapping AI Governance (architektura instytucjonalna), TOM Leslie - Turing AI Ethics Governance Introduction (ramy etyczne governance), TOM EC DMA Review SWD 2026/123 (siostrzany dokument EC, podobny gatunek policy paper). CO MATEMATIC WNIESIE: warsztat trzech scenariuszy AI 2040 dla zarządu kancelarii (Stakes per scenariusz, mapowanie ryzyk LegalTech, alokacja kapitału pod subiektywne wagi prawdopodobieństw), warsztat anticipatory governance (cykl półroczny foresight, hype assessment, monitoring AI Act enforcement, AI literacy na wszystkich poziomach), warsztat vertical AI dla polskiego prawa (lokalny fine-tuning, polski retrieval, polski rubric LEGIT-style), deliverable - strategia AI 2026-2030 robust across trzech scenariuszy plus rejestr ryzyk strategicznych plus mechanizm aktualizacji. Autor recenzji: Wiesław Mazur - MateMatic. - [ENISA przekłada NIS2 na konkrety. 47 stron technical guidance z evidence list dla każdego z 13 obszarów cybersec.](https://matematicsolutions.com/baza-wiedzy/2026-05-09-enisa-technical-guidance-nis2-implementing-regulation-2024-2690.html): ENISA (Konstantinos Moulinos, Marianthi Theocharidou), Technical Implementation Guidance on Commission Implementing Regulation (EU) 2024/2690 of 17 October 2024 laying down rules for the application of NIS2 Directive (EU 2022/2555) as regards technical and methodological requirements of cybersecurity risk-management measures, czerwiec 2025, v1.0, 47 stron. Licencja CC BY 4.0 - możemy cytować i adaptować z atrybucją do ENISA. Dla polskiej kancelarii i jej klientów essential/important entities pod NIS2 baseline operacyjny pod ustawą o krajowym systemie cyberbezpieczeństwa w nowelizacji NIS2 (status legislacyjny dynamiczny - aktualne na 9 maja 2026 weryfikuj na bieżąco). KONSTRUKCJA DOKUMENTU - 13 OBSZARÓW CYBERSEC: 1. Policy on the security of network and information systems (1.1 policy + 1.2 roles, responsibilities, authorities), 2. Risk management policy (2.1 framework, 2.2 compliance monitoring, 2.3 independent review), 3. Incident handling (3.1-3.6: policy, monitoring/logging, event reporting, event assessment/classification, incident response, post-incident reviews), 4. Business continuity and crisis management (4.1 BCDR plan, 4.2 backup/redundancy, 4.3 crisis management), 5. Supply chain security (5.1 policy, 5.2 directory of suppliers and service providers), 6. Security in network and information systems acquisition/development/maintenance (6.1-6.9+ incl. network security, network segmentation, malicious software protection), 7. Policies on the effectiveness of cybersecurity risk-management measures, 8. Basic cyber hygiene practices and cybersecurity training, 9. Use of cryptography and where appropriate encryption, 10. Human resources security, 11. Access control policies + MFA + asset management, 12. Asset management (12.1-12.5 incl. removable media policy, asset inventory, deposit/return/deletion upon termination), 13. Environmental and physical security (13.1 supporting utilities, 13.2 protection against physical/environmental threats, 13.3 perimeter and physical access control). Plus Annex I National Frameworks i Annex II Glossary. PATTERN KAŻDEGO ROZDZIAŁU: cytat z odpowiedniego punktu Annexu Implementing Regulation 2024/2690 + sekcja GUIDANCE (bullet points wyjaśniające z odniesieniami do ISO 27005:2022 i ISO 27001) + sekcja EXAMPLES OF EVIDENCE (konkretna lista artefaktów które audytor może zobaczyć podczas inspekcji). Document explicite zaznacza non-binding advisory character - nie zastępuje krajowych wytycznych ale daje wspólną mapę dla państw członkowskich. Adresat główny: dostawcy DNS, rejestratorzy TLD, dostawcy chmury, centra danych, CDN, dostawcy zarządzanych usług, MSSP, marketplace internetowe, wyszukiwarki, social networking, dostawcy zaufania. Pośrednio - wszystkie essential/important entities pod NIS2. TRZYFILAROWY FILTR MATEMATIC: bierzemy cztery obszary najmocniejsze dla polskiej kancelarii (Risk Management Framework 2.1 z risk treatment plan i 7 elementami plus mapping ISO 27005:2022, Incident Handling 3.1-3.6 z lifecycle policy/monitoring/reporting/classification/response/post-incident, Supply Chain 5.1-5.2 z directory dostawców plus mapping na 12 klauzul DPA z dzisiejszej Aktualności Kenney AI Compliance, Asset Management 12.1-12.5 z pełnym inwentarzem hardware/software/dane/sub-processors); flagujemy że dokument datowany czerwiec 2025 (około 11 miesięcy temu) - krajowe wytyczne polskich organów (CSIRT NASK, CSIRT GOV, CSIRT MON, Minister Cyfryzacji) mogą iść głębiej w niektórych obszarach, mechanizm review cyklicznego przez ENISA we współpracy z Komisją Europejską i NIS Cooperation Group jest zapowiadany; nie endorsujemy traktowania ENISA evidence listy jako jedynego punktu odniesienia bez sprawdzenia krajowego organu właściwego pod jurysdykcją podmiotu. POLSKI MOSTEK: ustawa o krajowym systemie cyberbezpieczeństwa w nowelizacji NIS2 (status legislacyjny weryfikuj), Minister Cyfryzacji jako organ właściwy ds. cyberbezpieczeństwa, operacyjnie CSIRT NASK (cywilny), CSIRT GOV (rządowy), CSIRT MON (wojskowy) plus sektorowe CSIRT-y (interpretacja MateMatic, nie stanowisko Ministerstwa Cyfryzacji ani CSIRT); mechanizm baseline-eskalacja art. 32 RODO plus art. 35 RODO plus NIS2 art. 21 plus Implementing Regulation 2024/2690 plus ENISA Technical Guidance jako jeden proces zarządzania ryzykiem w czterech aktach; tajemnica zawodowa adwokacka (Karta Etyki Adwokata art. 19) i radcowska (Kodeks Etyki Radcy Prawnego art. 14-17) jako mocniejszy standard dla NIS2 art. 21 ust. 2 lit. e (encryption where appropriate) - stack zero-cloud i lokalna inferencja AI jako spełnienie proportionality test; powiązanie z RODO art. 33-34 (notification do PUODO) plus NIS2 art. 23 (notification do organów cyberbezpieczeństwa) - dwa różne reżimy notyfikacji w jednym przebiegu incident response. CROSS-REFERENCE: BW/045 Kenney Runtime Enforcement (security cross-cutting capability), TOM 054 EDPB DPIA baseline-eskalacja (art. 32+35 RODO mechanism), TOM 056 Kenney Atlas (NIST AI RMF + ISO 42001 mapping), TOM 057 LEGIT (reasoning evaluation), Aktualność 9 maja 2026 Kenney AI Compliance for the Enterprise (12 DPA clauses + 5 governance documents + sub-processor disclosure). - [LEGIT obala final-answer-only RL w prawie. 24 tysiące drzew argumentów jako rubric audytu reasoning AI.](https://matematicsolutions.com/baza-wiedzy/2026-05-09-lee-legit-legal-issue-tree-rubrics.html): Jinu Lee, Kyoung-Woon On, Simeng Han, Arman Cohan, Julia Hockenmaier (Illinois, LBOX, Stanford, Yale, Illinois), Evaluating Legal Reasoning Traces with Legal Issue Tree Rubrics, arXiv:2512.01020v2 [cs.AI], 1 maja 2026. Recenzja referencyjna MateMatic pod prawem cytatu. LEGIT - dataset 24 tysiące koreańskich wyroków sądowych (cywilne i administracyjne, do 84,1 procent spraw sądowych) zamienionych w hierarchiczne drzewa argumentów stron (claim) i wniosków sądu (court conclusion), służących jako rubric oceny reasoning trace LLM. LEGIT score 10 punktów w trzech wymiarach: issue coverage 2 pkt (czy odpowiedź obejmuje wszystkie istotne kwestie), issue correctness 3 pkt (czy każda omówiona kwestia rozumowana poprawnie), final order correctness 5 pkt (czy prediction zgodny z wyrokiem). Test split 300 spraw (100/100/100 easy/medium/hard). Pipeline: Gemini-2.0-Flash z 3-shot examples kuratorowanymi przez autorów, dwukrotne wywołanie LLM (generation + validation), ręczna inspekcja na losowej próbce. CENTRALNY EMPIRYCZNY WYNIK: Gemma-3-4B trenowana z LEGIT rewards osiąga 4,77 LEGIT score (test) - prawie tyle co Gemma-3-27B baseline (4,82) - mimo bycia sześciokrotnie mniejszą. Tymczasem Gemma-3-4B z final-answer-only RL (paradygmat DeepSeek-R1) dochodzi tylko do 4,31, i co kontrintuicyjne - jej finalny order correctness jest niższy niż u modelu trenowanego z LEGIT rewards mimo że final-answer reward był trenowany dokładnie na tej metryce. Wniosek: w prawie optymalizacja jakości całego rozumowania daje lepsze wyniki niż optymalizacja samego finalnego output, NAWET dla samego finalnego output. RAG complementary - dorzuca 0,1-0,4 punktu LEGIT score niezależnie od (generator, retriever) pair, gain w wszystkich trzech komponentach. Modele testowane: o3, GPT-4.1, GPT-4.1-mini, Gemini 2.5-Pro/2.5-Flash/2.0-Flash, Gemma 3 27B/12B/4B, EXAONE 3.5-32B/3.5-7.8B/3.0-7.8B. RELIABILITY: strong LLMs (Gemini, GPT) osiągają wysoką inter-rater agreement z licencjonowanymi koreańskimi prawnikami w ocenach LEGIT - LLM-as-a-judge działa. Słabsze open-source modele - ograniczona zgodność. LICENCJA: koreańskie wyroki nie są chronione prawem autorskim (Copyright Act of Republic of Korea, art. 7) - dokładnie jak polskie wyroki sądów powszechnych. Wszystkie sprawy zanonimizowane (przez sąd lub LBOX). DOMYКА TRIADĘ REASONING AI W PRAWIE w bibliotece MateMatic: TOM 002 Yin Reasoning Trap (PROBLEM - reasoning enhancement zwiększa halucynacje narzędziowe 2-10x) + TOM 052 Stanford HAI AI Index 2026 z LegalTech overlay (POMIAR - CaseLaw v2 73,4 procent, KaBLE first-person false belief) + TOM 057 LEGIT (METODOLOGIA NAPRAWY - drzewo argumentów jako rubric, którego CaseLaw v2 i LegalBench nie pokrywały). FILTR TRZYFILAROWY w sekcji "Czego autorzy nie powiedzieli, a co musi powiedzieć polski compliance": adaptacja Issue Tree do KPC/KPA (mechaniczna, nie strukturalna - common-law/civil-law różnica drugorzędna); art. 22 RODO i low-friction oversight (asystent AI z poprawnym wnioskiem ale wadliwym rozumowaniem wygląda dla partnera tak samo jak asystent z poprawnym - bez metryki LEGIT-podobnej brak narzędzia do rozróżnienia, interpretacja MateMatic nie stanowisko NRA ani KRRP); art. 15 EU AI Act accuracy (LEGIT-style trzy wymiary jako baseline metodologiczny dla high-risk AI compliance dokumentacji); tajemnica zawodowa (issue coverage jako twarda metryka kompletności streszczeń opinii biegłego, zeznań świadka, pisma drugiej strony). Cross-reference: TOM 001 (Governing Agents - art. 22 SCHUFA), TOM 002 (Yin Reasoning Trap), TOM 045 (Runtime Enforcement), TOM 052 (Stanford HAI AI Index), TOM 056 (Kenney Governing Intelligence atlas), Aktualność 9.05.2026 rano (Stanford HAI LegalTech overlay). - [Atlas dla compliance officera w czterech jurysdykcjach. Kenney składa książkę z paperów, które już znamy.](https://matematicsolutions.com/baza-wiedzy/2026-05-09-kenney-governing-intelligence-book.html): Noah M. Kenney, Governing Intelligence: Law, Privacy, Security, and Compliance in the Age of Artificial Intelligence, First Edition, Digital 520, 2026. Recenzja flagowa serii Kenneya w Bazie Wiedzy MateMatic. Książka All Rights Reserved - synteza referencyjna pod prawem cytatu, bez hostowania PDF, link do noahkenney.com. Tom flagowy zwijający fragmenty BW/001 (Governing Agents) i BW/045 (Runtime Enforcement) w pełen atlas regulacyjny czterech jurysdykcji: UE, USA, UK, Chiny. TRZYFILAROWY FILTR: bierzemy komparatystykę regulacyjną (rozdz. 4-7), AI Privacy Engineering (rozdz. 11), szablon audytu (Aneks D), glosariusz (Aneks E - blisko 250 pojęć); flagujemy US-centryzm (FTC, BIPA, FERPA, NYC Local Law 144) i compliance-by-vendor jako podejście domyślne; nie endorsujemy dat EU AI Act sprzed Omnibus z 7 maja 2026 (zaktualizowane: Annex III high-risk - 2 grudnia 2027, Annex I high-risk - 2 sierpnia 2028, art. 50(2) watermarking - 2 grudnia 2026). POLSKI MOSTEK: PUODO, KRRP, NRA, tajemnica zawodowa adwokacka i radcowska (interpretacja MateMatic, nie stanowisko NRA ani KRRP), stack zero-cloud jako alternatywa dla compliance-by-vendor, decyzja jako jednostka pracy zamiast governance na poziomie systemu. Cross-reference: BW/001, BW/045, BW/054 EDPB DPIA Guidelines. - [Leiden i TNO pytają 112 pracowników: czy mały model RAG wystarczy do zadań z wrażliwymi danymi. Odpowiedź zmienia rachunek dla kancelarii.](https://matematicsolutions.com/baza-wiedzy/2026-05-06-froma-rag-assistants-model-size-human-ai.html): Froma, Kouwenhoven, de Boer, Jonker, van Duijn (Leiden University LIACS, TNO, TU Delft), arXiv:2605.00964v1, 1 maja 2026. Recenzja referencyjna MateMatic pod prawem cytatu. CENTRALNY WYNIK: human-AI hybrid zawsze bije LLM-only i LLM+RAG baseline niezależnie od rozmiaru modelu (N=112). Postrzegana użyteczność i satysfakcja użytkownika porównywalne dla modeli 3B/8B/70B - autorzy nazywają to "nuanced trade-off". Modele 3B i 8B lokalnie deployowalne - "can be deployed in edge computing supporting full control over privacy-sensitive data handling" (cytat z pracy). Scenariusz projektowany z EU AI Act compliance i wrażliwymi danymi jako explicit constraint. TRZYFILAROWY FILTR: bierzemy (empiryczny dowód za lokalnym RAG z małymi modelami, walidacja HITL jako mechanizm accuracy nie tylko compliance, kontrintuicyjny wynik satysfakcji zmienia rachunek dla kancelarii), kontekst (scenariusz anglojęzyczny nie prawniczy - brak bezpośredniego transferu do polskich aktów, uczestnicy nie byli prawnikami, accuracy rośnie z modelem - dla zadań wymagających precyzji weryfikacja progu przed wyborem 3B obowiązkowa), nie endorsujemy ("3B wystarczy" jako universal argument bez walidacji na własnych danych prawniczych, pomijania języka polskiego - Bielik/PLLuM lepszy punkt startowy dla polskich tekstów prawnych niż generyczny anglojęzyczny 3B). MAPPING: tajemnica zawodowa KEA/KERP (lokalny deployment jako "full control over privacy-sensitive data" - art. 6 prawa o adwokaturze, art. 3 ustawy o radcach, interpretacja MateMatic nie stanowisko NRA/KIRP), RODO art. 32 (lokalny deployment modelu jako środek techniczny adekwatny do ryzyka), AI Act art. 14 (nadzór ludzki - hybrid > LLM-only to empiryczna walidacja nie tylko wymóg compliance), zero-cloud stack dla kancelarii (warstwa modelu językowego). Cross-reference BW/036 Kuśmierek (lokalne LLM dla polskich tekstów), BW/051 Supesu (87 procent adopcji AI bez rozróżnienia DPA), BW/053 Five Eyes (art. 32 mapping), BW/054 EDPB DPIA (mechanizm baseline-eskalacja dla oceny ryzyka RAG). CO MateMatic WNIESIE: warsztat Lokalny RAG dla kancelarii - od wyboru modelu (Bielik/PLLuM/Llama) do walidacji accuracy na polskich aktach, konfiguracja bez danych wychodzących poza sieć kancelarii, deployment zgodny z art. 32 RODO i tajemnicą zawodową KEA/KERP, deliverable prototyp plus protokół weryfikacji accuracy plus mapa ryzyk wdrożenia. Autor recenzji: Wiesław Mazur - MateMatic. - [EDPB Guidelines on DPIA (2026): szablon to efekt uboczny. Mechanizm baseline-eskalacja od ISO TR 13335 do AI Act to fundament.](https://matematicsolutions.com/baza-wiedzy/2026-05-06-edpb-guidelines-dpia-template-baseline-eskalacja.html): European Data Protection Board - projekt wytycznych dotyczących DPIA z szablonem (14.04.2026, konsultacje publiczne do 9.06.2026, edpb.europa.eu). Recenzja MateMatic pod prawem cytatu. CENTRALNY ARGUMENT: mechanizm baseline-eskalacja sformalizowany w ISO/IEC TR 13335-3:1998 (ocena ogólna plus eskalacja do szczegółowej przy wysokim ryzyku) przejęty przez ISO 27005 i wpisany w RODO bez przypisu - art. 32 (baseline administrator danych) do art. 35 DPIA (eskalacja przy wysokim ryzyku). AI Act art. 9 plus Annex III dodaje trzeci poziom tej samej piramidy. Nowy szablon EDPB dokumentuje mechanizm - nie zmienia mechanizmu. Kancelaria bez procesu art. 32 pod spodem nie poprawi compliance przez wypełnienie szablonu DPIA. CZTERY POZIOMY HISTORYCZNE: 1998 ISO TR 13335-3 (dwa poziomy baseline-eskalacja), 2011 ISO 27005 (mechanizm w rodzinie 27000), 2018 RODO art. 32 plus art. 35 (mechanizm prawa UE), 2024 AI Act art. 9 plus Annex III (trzeci poziom eskalacji). MAPPING NA POLSKIE INSTRUMENTY: RODO art. 32 (polska kancelaria jako administrator danych klientów - ocena ryzyka dla każdej operacji przetwarzania w tym narzędzi AI), art. 35 DPIA (wyzwalacze: systematyczna analiza wrażliwych danych klientów przez zewnętrzny AI, profilowanie na potrzeby marketingu usług, systemy decyzji z istotnym skutkiem dla klienta), AI Act art. 9 i art. 26 (kancelaria jako deployer dziedzieczy obowiązki systemu zarządzania ryzykiem przez cały cykl życia systemu AI; mechanizm analogiczny do art. 32/35 RODO), AI Act Annex III (wymiar sprawiedliwości, egzekwowanie prawa, zarządzanie migracją - kancelarie w tych obszarach weryfikują narzędzia AI klientów i własne), NIS2/KSC (nowelizacja 19.02.2026, wejście 3.04.2026 - kancelarie obsługujące podmioty kluczowe z 18 sektorów mogą dziedziczyć obowiązki jako podmioty trzecie). TRZYFILAROWY FILTR: bierzemy (szablon jako punkt wyjścia do art. 32, logika eskalacji potwierdzona, okno konsultacji do 9.06.2026 aktywne przez KIRP i NRA), kontekst (projekt roboczy nie normatywny, szablon dla jednej operacji nie zastępuje rejestru art. 30 ani polityki art. 32), nie endorsujemy (szablonu DPIA jako checkboxa bez procesu art. 32 pod spodem, pominięcia warstwy AI Act przez kancelarie-deployer). POWIĄZANIA: BW/053 Five Eyes agentic AI (pięć ryzyk zmapowanych na art. 32), BW/049 Uberti-Bona Marin (AI Act art. 9-15 i cztery techno-normative choices). CO MateMatic WNIESIE: warsztat architektura ryzyka - mapowanie operacji przetwarzania kancelarii na wyzwalacze art. 35, analiza systemów AI pod AI Act art. 9 i Annex III, rejestr ryzyka z planem zamknięcia luk przed inspekcją UODO. Autor recenzji: Wiesław Mazur · MateMatic. - [Sześć agencji rządowych Five Eyes pisze przewodnik bezpieczeństwa agentic AI. Pięć ryzyk plus lifecycle czterech etapów.](https://matematicsolutions.com/baza-wiedzy/2026-05-04-five-eyes-careful-adoption-agentic-ai.html): Joint cyber security guidance opracowany przez sześć agencji rządowych - Australian Signals Directorate's Australian Cyber Security Centre (ASD's ACSC) jako lead authoring agency, United States Cybersecurity and Infrastructure Security Agency (CISA), United States National Security Agency (NSA), Canadian Centre for Cyber Security (Cyber Centre), New Zealand National Cyber Security Centre (NCSC-NZ), United Kingdom National Cyber Security Centre (NCSC-UK). Tytuł: "Careful adoption of agentic AI services". 28+ stron, 2025/2026. LICENCJA Creative Commons Attribution 4.0 International (CC BY 4.0) - MateMatic hostuje PDF lokalnie z atrybucją do sześciu agencji autorskich. Six authoring agencies (Five Eyes z dwoma agencjami USA - oprócz NSA udział wzięła także CISA, cywilna agencja DHS odpowiedzialna za ochronę krytycznej infrastruktury USA). CENTRALNA REKOMENDACJA agencji autorskich jednoznaczna: "never granting agentic AI broad or unrestricted access, especially to sensitive data or critical systems; only use agentic AI for low-risk and non-sensitive tasks". Pięć kategorii ryzyk specyficznych dla agentic AI: 1. PRIVILEGE RISKS - uprawnienia agenta i ich nadużycie (nadmierne uprawnienia ponad to co potrzebne, eskalacja, przekazanie uprawnień osobom trzecim, brak segmentacji dostępu między rolami); 2. DESIGN AND CONFIGURATION RISKS - błędy projektowe (domyślne hasła, błędna integracja, nieaktualne komponenty open-source, brak walidacji wejścia, brak rate limiting, błędna interpretacja roli systemowej); 3. BEHAVIOUR RISKS - nieprzewidywalne zachowanie LLM (halucynacja, jailbreak, prompt injection przesunięte do warstwy agenta autonomicznie wykonującego akcje - agent może wygenerować fałszywą nazwę pliku i nadpisać dokument klienta, halucynować numer rachunku, podstawić błędną sygnaturę do złego sądu); 4. STRUCTURAL RISKS - kompleksowość integracji (każde połączenie to powierzchnia ataku, kompleksowość rośnie szybciej niż pojemność zarządzania nią); 5. ACCOUNTABILITY RISKS - rozproszona odpowiedzialność (dostawca modelu, dostawca platformy agentic, integrator wewnętrzny, prawnik korzystający, klient końcowy - każde ogniwo może zrzucić odpowiedzialność na poprzednie). LIFECYCLE CZTERECH ETAPÓW BEST PRACTICES: 1. DESIGNING SECURE AGENTS - clear bounds of authority, segregacja zadań (jeden agent jeden cel), least privilege wbudowane w architekturę nie ex post, human-in-the-loop dla decyzji wysokiego ryzyka, audit logs by-design; 2. DEVELOPING SECURE AGENTS - secure SDLC, walidacja inputu, sanityzacja outputu, threat modeling, dependency management dla bibliotek AI/ML, code review obejmujący prompty systemowe (system prompt jako kod), testy bezpieczeństwa specyficzne dla agentic (red team agentic, prompt injection, nieautoryzowane użycie uprawnień), procurement z SBOM (Software Bill of Materials); 3. DEPLOYING AGENTS SECURELY - network segmentation, secrets management (klucze API nie w plain text), monitoring od dnia pierwszego, rollback plan, ograniczone uprawnienia (read-only initial), kill-switch; 4. OPERATING AGENTS SECURELY - continuous monitoring (logi, anomalie, metryki użycia), incident response plan z procedurami agentic-specific (halucynacja na produkcji, prompt injection w toku, nadużycie uprawnień), regular review uprawnień (privilege creep), patching modeli, end-of-life plan. DEFEND AGAINST FUTURE RISKS: threat intelligence collaboration (frameworki OWASP 2025 Top 10 LLM/GenAI i MITRE ATLAS nie pokrywają jeszcze wszystkich attack vectors specyficznych dla agentic AI), agent-specific evaluations, system-theoretic approaches do analizy bezpieczeństwa. APPENDIX A: Cyber security prerequisites before implementation of AI agents - lista kontrolna gotowości środowiska IT zanim agent wejdzie do produkcji. MAPPING NA POLSKIE INSTRUMENTY: RODO art. 32 (środki techniczno-organizacyjne adekwatne do ryzyka - pięć ryzyk plus lifecycle to operacyjna struktura art. 32 dla agentic AI); DYREKTYWA NIS2 (Dyrektywa UE 2022/2555) implementowana w Polsce nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa - prezydent podpisał 19.02.2026, publikacja w Dzienniku Ustaw 2.03.2026, wejście w życie 3.04.2026 po vacatio legis, rozszerzenie z 7 sektorów (NIS1) do 18 sektorów, dwie kategorie podmiotów (kluczowe i ważne), kary do 10 mln EUR lub 2 procent przychodu plus osobista odpowiedzialność zarządu, ex-ante supervision dla podmiotów kluczowych, publiczny rejestr S46 z self-identification do 3.10.2026, pełna implementacja wymogów do 3.04.2027 (12 miesięcy okno na zbudowanie polityki agentic AI zgodnej z NIS2, polska kancelaria obsługująca klientów z sektorów NIS2 dziedziczy część obowiązków jako podmiot trzeci); AI ACT art. 26 deployer obligations (sześć obowiązków - dokumentacja użycia AI, nadzór ludzki, zapewnienie reprezentatywności danych wejściowych, monitoring działania, raportowanie incydentów, transparentność wobec osób objętych decyzją AI - lifecycle Five Eyes daje gotowe mapowanie); TAJEMNICA ZAWODOWA KEA i KERP (centralna rekomendacja "never granting broad access" w polskiej kancelarii oznacza agent nie ma broad access do akt klientów - art. 6 prawa o adwokaturze i art. 6 ustawy o radcach prawnych jako filtr każdego scope'a agenta). PIĘĆ BRAKUJĄCYCH WARSTW (z perspektywy polskiej kancelarii): brak warstwy EU regulacyjnej (paper nie pokrywa AI Act, ENISA, EUCC, ETSI - cross-ref do BW/049 Uberti-Bona, BW/039 RAII, BW/045 Kenney zamyka), brak case studies prawnych (adresat to government plus critical infrastructure plus industry, branża prawnicza nie ma osobnej analizy), brak danych empirycznych o incydentach agentic AI (cross-ref do BW/052 Stanford 362 incydenty zamyka skalę), brak warstwy małej kancelarii (Five Eyes zakłada zespół security osobny od zespołu prawniczego - możliwe od 30+ osób), brak warstwy lokalnych modeli LLM (Bielik, PLLuM, Llama on-premise jako kategoria zmniejszająca część Privilege i Structural risks - cross-ref do BW/036 Kuśmierek, BW/051 Supesu). USE CASE'Y: compliance officer/IOD kancelarii wdrażającej agentic AI obowiązkowo (5 ryzyk plus lifecycle gotowy framework audytu); CIO/dyrektor IT kancelarii obowiązkowo (lifecycle plus Appendix A jako operacyjny manual); adwokat doradzający klientowi-spółce wdrażającej agentic AI obowiązkowo (sześć agencji rządowych w jednej publikacji argument silniejszy niż uchwała pojedynczego regulatora); adwokat doradzający klientom z sektorów NIS2 (energetyka, finanse, ochrona zdrowia, infrastruktura cyfrowa) obowiązkowo (mapping pięciu ryzyk na obowiązki NIS2 gotowy materiał audytowy); partner zarządzający dużej kancelarii 30+ tak (decyzja strategiczna in-house vs outsourcing zespołu security); solo praktyk i kancelaria 1-3 osobowa selektywnie (czytaj rozdział o pięciu ryzykach plus Appendix A); klient indywidualny szukający prawnika nie polecam; edukator LegalTech/vendor narzędzi prawniczych obowiązkowo (mapa decyzji produktowych); aplikant adwokacki lub radcowski tak (argument za inwestycją w kompetencje cyber security obok kompetencji prawniczych). POWIĄZANIA Z BW: pierwszy tom Bazy Wiedzy MateMatic z kategorii joint government cyber security guidance; direct partner BW/048 OASIS CoSAI agentic IAM (tożsamość plus pięć ryzyk plus lifecycle); direct partner BW/045 Kenney runtime enforcement (continuous authorization plus Privilege risks plus Operating securely); direct complement BW/OWASP AIVSS agentic AI (10 ryzyk z metryką plus pięć kategorii z best practices); direct partner BW/046 Berkeley CLTC GPAI Risk Management Profile (governance plus security); direct complement BW/049 Uberti-Bona Marin techno-normative AI accuracy (accuracy plus behaviour mapa ryzyka technicznego); direct partner BW/052 Stanford AI Index 2026 (skala 362 incydentów plus framework prewencji); cross-reference do Aktualności 30.04.2026 Workspace MCP plus Gemini Enterprise (MCP scoping operacyjna realizacja Privilege risks). Razem z BW/051 Supesu (87 procent polskich prawników korzysta) i BW/052 Stanford (88 procent globalnie plus 362 incydenty) tworzy triadę: empiryka, skala, operacjonalizacja. CO MateMatic WNIESIE: audyt agentic AI w kancelarii w trzech sesjach z mapowaniem na Five Eyes guidance - pięć ryzyk per scenariusz wdrożenia (DMS, kalendarz, helpdesk klienta, research prawny), lifecycle czterech etapów z mapowaniem na art. 32 RODO i AI Act art. 26, procurement i SBOM dla audytu dostawcy LegalTech; deliverable rejestr ryzyk per scenariusz plus polityka lifecycle plus protokół procurement. - [AI Index Stanford HAI 2026. Dziewięć rozdziałów, 362 incydenty, 88 procent adopcji - co kancelaria wyciąga selektywnie.](https://matematicsolutions.com/baza-wiedzy/2026-05-04-stanford-hai-ai-index-2026.html): Stanford Institute for Human-Centered AI (HAI) - Artificial Intelligence Index Report 2026 (IX edycja, kwiecień 2026, 385+ stron, 9 rozdziałów: 1. Research and Development, 2. Technical Performance, 3. Responsible AI, 4. Economy, 5. Science nowy, 6. Medicine nowy, 7. Education, 8. Policy and Governance, 9. Public Opinion plus Appendix). Inicjatywa AI Index zrodzona w ramach One Hundred Year Study on Artificial Intelligence (AI100) Stanforda. Co-chairs: Yolanda Gil i Raymond Perrault. Steering Committee i ponad 40 współautorów: Russ Altman, Carla Brodley, Erik Brynjolfsson, Jack Clark (Anthropic, OECD), Virginia Dignum (Umeå University), Vipin Kumar, James Landay, Terah Lyons (JPMorgan Chase), James Manyika (Google, Oxford), Juan Carlos Niebles, Vanessa Parli, Yoav Shoham (AI21 Labs), Elham Tabassi (Brookings), Russell Wald, Dan Weld, Toby Walsh (UNSW Sydney). Współpraca przy chapterze Science: Schmidt Sciences. Lead i editor-in-chief: Sha Sajadieh. Research manager: Loredana Fattorini. LICENCJA: Attribution-NoDerivatives 4.0 International (CC-BY-ND 4.0), potwierdzona dosłownym cytatem na s. 5 raportu - MateMatic NIE hostuje PDF lokalnie ani nie modyfikuje treści (klauzula NoDerivatives), recenzja oparta na prawie cytatu (art. 29 ustawy o prawie autorskim). Strona: https://aiindex.stanford.edu. PIĘTNAŚCIE TOP TAKEAWAYS edycji 2026: #1 capability nie plateauje (88 procent adopcji organizacyjnej, 4 z 5 studentów USA używa GenAI, SWE-bench Verified 60 → blisko 100 procent human baseline w rok); #2 luka US-Chiny zamknięta (DeepSeek-R1 luty 2025 dorównał top US, marzec 2026 Anthropic prowadzi o 2,7 procenta, Korea Płd lider patentów AI per capita); #3 USA hostuje 5427 data centers (10 razy więcej niż drugi kraj, jednak prawie wszystkie chipy AI fabrykowane przez TSMC w Tajwanie); #4 jagged frontier (Gemini Deep Think złoto na International Mathematical Olympiad, ale top model czyta zegar analogowy poprawnie 50,1 procent czasu; OSWorld task success 12 → 66 procent w rok); #5 robots fail 88 procent zadań domowych mimo 89,4 procent na RLBench w lab; #6 Responsible AI nie nadąża - 362 udokumentowane incydenty AI w 2025 vs 233 w 2024 (wzrost 55 procent YoY), reporting na responsible AI benchmarks sporadyczny, optymalizacja safety degraduje accuracy; #7 USA private investment 285,9 mld USD vs Chiny 12,4 mld (23×), 1953 nowo finansowanych firm AI w US (10× drugi kraj), ale napływ globalnego talentu do US spada; #8 GenAI 53 procent populacji adopcji w 3 lata szybciej niż PC i internet, USA 28,3 procent (poz. 24), Singapur 60,9 procent, ZEA 64 procent, $172 mld rocznie wartości konsumenckiej GenAI w US; #9 produktywność 14-26 procent w customer support i software dev, ale entry-level zatrudnienie spada (US developerzy 22-25 lat -20 procent zatrudnienia od 2024); #10 footprint środowiskowy 29,6 GW data center capacity (skala Nowego Jorku), Grok 4 training emissions 72816 ton CO2eq, GPT-4o annual inference water może przekraczać potrzeby 12 mln ludzi; #11 modele dla nauki przewyższają chemików na ChemBench, MSAPairformer 111M parametrów pokonał wcześniejsze metody na ProteinGym; #12 transformacja kliniczna ambient AI scribes - 83 procent mniej czasu na notatki, ale baza dowodowa thin (review 500+ studiów - 50 procent na exam-style questions, tylko 5 procent na real clinical data); #13 80+ procent uczniów USA i studentów używa AI, ale tylko 50 procent szkół ma politykę AI, 6 procent nauczycieli uważa polityki za jasne, AI engineering skills przyrost najszybciej w ZEA, Chile, RPA; #14 AI sovereignty jako definicyjna cecha polityki narodowej z czterema osiami (Infrastructure, Data, Talent, Model); #15 50-punktowa luka zaufania ekspertów (73 procent pozytywny wpływ na pracę) vs publiczności (23 procent), EU 53 procent mediana zaufania w regulacji AI vs USA 37 vs Chiny 27 (Pew Spring 2025), USA 31 procent (najniższe) zaufania do własnego rządu w regulacji. POLSKA W DANYCH: 28,5 procent adopcja generatywnej AI (poz. 22 globalnie, +2,10 punktu YoY), wyżej niż USA 28,3, Czechy, Włochy, Bułgaria, Finlandia; niższej niż Niemcy 28,6 procent, Dania 28,7. Polska 61 procent zaufania do własnego rządu w regulacji AI - dziesiąte miejsce wśród 30 krajów Ipsos 2025 (powyżej globalnej mediany 54 procent, znacząco powyżej USA 31). Polskie benchmarki językowe wymienione: PolEval (~19 tys. zamkniętych pytań z polskich egzaminów narodowych w 154 domenach, 600 ręcznie skonstruowanych pytań kompetencyjnych historia/geografia/kultura/sztuka/gramatyka). Polska wymieniona w rankingu sovereignty AI z udziałem 2,87 procent w jednej z metryk. PIĘĆ OBSERWACJI MateMatic z trzyfilarowego filtra: 1. empiryczna mapa adopcji - 88 procent organizacji globalnie + 87 procent polskich prawników (BW/051 Supesu) = polska kancelaria wyrównana z trendem globalnym; 2. krajobraz duopoli US-Chiny ale rozproszone per oś (USA dominuje infrastrukturę i talent, Chiny publikacje cytowania robotykę), open-source rozprasza udział; 3. top use cases - research prawny 81 procent jako top use case AI Supesu/Stanford predyktywny sygnał ryzyka zawodowego (Mata vs Avianca SDNY czerwiec 2023 jako precedens), automatyzacja powtarzalnych 56 procent najniższego ryzyka i najwyższego ROI; 4. luka zaufania 50pp eksperci vs publiczność plus Polska 61 procent zaufania do rządu jako mocna pozycja konkurencyjna polskiej kancelarii doradzającej klientowi-spółce; 5. Polska w globalnych danych - jeśli kancelaria używa modelu globalnego do polskich tekstów prawnych bez kontekstu polskich benchmarków, pracuje z modelem walidowanym na innym typie danych (cross-ref BW/036 Kuśmierek, BW/051 Supesu lokalne LLM brakująca kategoria, Bielik PLLuM Llama on-premise Mistral). TRZY LUKI RAPORTU z perspektywy polskiej kancelarii: US-centric bias chapter 8 Policy and Governance (Europa traktowana jako blok bez dezagregacji, brak EU AI Act enforcement timeline 2025-2027, brak analizy uchwał izb adwokackich Niemiec/Francji/Niderlandów); brak tłumaczenia capability benchmarks na metryki kancelaryjne (SWE-bench, OSWorld, ChemBench, ProteinGym - polska kancelaria nie wie z tych liczb czy AI nadaje się do due diligence umowy SLA, analizy treści wyroku WSA, generowania klauzuli arbitrażowej - cross-ref BW/049 Uberti-Bona zamyka tę lukę); partnerstwa danych komercyjnych jako filtr informacyjny (McKinsey sprzedaje doradztwo wdrożeniowe AI - jego dane o adopcji 88 procent przekraczają inne źródła; LinkedIn stake w danych talentowych; GitHub w open-source; Quid i Zeki w analizie inwestycji - niezależność Stanford HAI mocna ale czytelnik musi mieć świadomość filtra). MAPPING NA POLSKIE INSTRUMENTY: RODO art. 28 (DPA z procesorem) i art. 32 (środki techniczno-organizacyjne) - 88 i 362 incydenty empiryczny argument za polityką AI wczoraj; AI Act art. 26 (deployer obligations) - dokumentacja użycia, nadzór ludzki, monitoring, raportowanie incydentów; tajemnica zawodowa KEA i KERP - dochowanie tajemnicy, niezależność, godność zawodu jako filtr 87 procent użycia AI; chapter Education jako materiał na rekrutację aplikantów (pokolenie używające AI w trakcie studiów oczekuje polityki AI w kancelarii); chapter Public Opinion jako materiał edukacyjny dla klienta (50pp luka, EU bardziej zaufana). SZEŚĆ BRAKUJĄCYCH WARSTW: brak tłumaczenia danych globalnych na polski rynek prawniczy (cross BW/051 Supesu zamyka), brak warstwy compliance per dostawca (BW/040 King zamyka), brak case studies prawnych (chapter Medicine ma kliniczne, prawniczego brak), brak warstwy lokalnych LLM dla rynków nieanglojęzycznych (BW/036 Kuśmierek), brak danych adopcji w sektorze prawnym Polski (BW/051 Supesu), brak warstwy wpływu na rynek pracy prawniczej (chapter Economy raportuje US developerzy 22-25 lat -20 procent, prawnicy entry-level nie analizowani - hipoteza MateMatic do dalszej obserwacji - polski rynek aplikancki za 24-36 miesięcy może pokazać podobną dynamikę dla prac analitycznych research'u prawnego). USE CASE'Y: partner zarządzający kancelarii 5-30 osobowej selektywnie (Top Takeaways s. 9-11 plus chapter 8 AI sovereignty); compliance officer/IOD obowiązkowo chapter 3 Responsible AI (362 incydenty argument dla budżetu polityki AI); adwokat doradzający klientowi-spółce wdrażającej AI obowiązkowo chapter 4 Economy plus chapter 9 Public Opinion (50pp luka argument za komponentem komunikacji wewnętrznej); adwokat doradzający klientom publicznym (JST, spółki SP, ministerstwa) obowiązkowo chapter 8 sekcja AI Sovereignty (cztery warstwy suwerenności jako framework decyzji o dostawcy AI); adwokat reprezentujący stronę postępowania z udziałem AI selektywnie chapter 3 sekcja incydenty; solo praktyk i kancelaria 1-3 osobowa selektywnie tylko Top Takeaways; HR business partner kancelarii tak chapter 7 Education i chapter 4 Economy (entry-level employment shifts); klient indywidualny szukający prawnika nie polecam; edukator LegalTech/vendor narzędzi prawniczych obowiązkowo całość. POWIĄZANIA Z BW: direct complement BW/051 Supesu (Stanford 88 globalnie + Supesu 87 PL prawnicy = mapa dwustronna), direct partner BW/049 Uberti-Bona Marin (Stanford skala 362 incydentów + Uberti formalny framework czterech techno-normative choices = skala plus narzędzie audytu), direct partner BW/044 WEF/Capgemini (Stanford AI sovereignty + WEF gotowość sektora publicznego = framework decyzji plus mapa gotowości), direct complement BW/042 AICDI (AICDI 13 procent firm globalnie ma framework governance + Stanford 88 procent adopcji + 362 incydenty = struktura ryzyka systemowego), direct partner BW/041 MIT atlas ryzyk (taksonomia teoretyczna + empiria realizacji), direct complement BW/040 King vendor (33 pytania audytowe + globalny kontekst koncentracji w US-Chinach), direct partner BW/036 Kuśmierek (jakościowy obraz strategii PL + ilościowe pozycjonowanie globalnie); cross-ref Aktualności 30 kwietnia 2026 Workspace MCP plus Gemini Enterprise (OSWorld task success 12 → 66 procent + Workspace operacyjny moment dla agentów MCP w polskich kancelariach). CO MateMatic WNIESIE: audyt adopcji AI w trzech sesjach z mapowaniem na AI Index 2026 - pozycjonowanie kancelarii na trendzie globalnym (skala Stanford 88 plus Supesu 87), procedura incident response (z bazy 362 udokumentowanych incydentów Stanforda jako referencji), framework AI sovereignty dla klienta publicznego (cztery pytania audytowe wobec dostawcy AI dla JST/SP/ministerstwa); deliverable - matryca pozycjonowania kancelarii na trendzie globalnym plus polityka AI plus rejestr scope'ów plus protokół incident response. Razem z BW/051 Supesu domyka mapę dwustronną Polska na tle świata i polskie kancelarie w Polsce. - [Supesu pyta polskich prawników o AI. 87 procent korzysta, ale ankieta nie pyta o to, co najważniejsze.](https://matematicsolutions.com/baza-wiedzy/2026-05-04-supesu-raport-rynku-prawniczego-2025-2026.html): Supesu (butik executive search) - Raport Rynku Prawniczego 2025/2026 (IV edycja, opracowanie statystyczne Q1 2026, metoda CAWI, próba n=507 prawniczek i prawników z polskich kancelarii oraz wewnętrznych działów prawnych in-house). Patronaty merytoryczne i komentarze otwarcia: Marta Bijak-Haiduk i Karol Ciszak (Deloitte Legal), Marta Koremba i Rafał Dziedzic (Bird & Bird), Klaudia Kamińska-Kiempa (Rödl & Partner), Piotr Bielarczyk (Agencja Rozwoju Przemysłu). Inicjatywa LEMI (Legal Mental Health Initiative) jako sygnowane wydzielenie zdrowotne raportu. RECENZJA REFERENCYJNA pod prawem cytatu (art. 29 ustawy o prawie autorskim) - MateMatic NIE hostuje PDF lokalnie, link do oryginału supesu.pl. CENTRALNA EMPIRYKA: 87 procent respondentów deklaruje korzystanie z narzędzi AI w codziennej pracy (ChatGPT 63 procent, Copilot 56 procent, Perplexity 18 procent, Claude i DeepL w jednocyfrowych procentach, Inne 30 procent), top use case research prawny 81 procent, automatyzacja powtarzalnych czynności około 56 procent. W osobnej sekcji o transformacji wewnętrznych działów prawnych: Wdrożenie AI 33 procent, Automatyzacja procesów 34 procent, Wdrożenie nowych narzędzi 46 procent. Struktura raportu - siedemnaście rozdziałów (wynagrodzenia i podwyżki, kobiety w zarządzie, czas pracy, benefity pozapłacowe, premie, zmiana zatrudnienia, narzędzia AI, jakość życia i poziom dobrostanu, inne możliwości zawodowe, wewnętrzne działy prawne, obowiązki WOB whistleblowing, lobbying, dyrektywa o przejrzystości wynagrodzeń, PILA i środowiska prawnicze, flexible legal resourcing nowość edycji, zarobki w przekroju województw i specjalizacji); 50 procent respondentów deklaruje objawy wypalenia zawodowego, ponad dwie trzecie rozważało zmianę pracy z powodu zdrowia psychicznego; hybryd 64 procent, stacjonarnie 25 procent, w pełni zdalnie około 11 procent. CZTERY OBSERWACJE MateMatic: 1. empiryczna mapa adopcji AI - rynek przekroczył próg dyskusji "czy wdrażać AI", dziś zarząd kancelarii zarządza tym co już dzieje się w organizacji; 2. krajobraz narzędzi z dominacją duopoli - przy multi-choice ChatGPT 63 i Copilot 56 oznacza większość respondentów używa obu równolegle, polski rynek zdominowany przez OpenAI i Microsoft, długi ogon Perplexity/Claude/DeepL obecny jako nisza; 3. top use cases jako mapa decyzji wdrożeniowych - research prawny 81 procent jako predyktywny sygnał gdzie pojawi się ryzyko zawodowe (halucynacja LLM przenosi się wprost na pismo procesowe, sprawa Mata vs. Avianca SDNY czerwiec 2023 jako precedens 5000 USD grzywny za sześć zmyślonych przez ChatGPT cytowań), automatyzacja 56 procent jako pole najniższego ryzyka i najwyższego ROI, compliance i monitoring zmian w prawie obszar największego potencjału agentów dziedzinowych z HITL; 4. korelacja AI ze zdrowiem psychicznym - raport tej zależności nie testuje, otwarte pytanie dla kolejnych edycji czy AI zmniejsza wypalenie przez automatyzację czy je zwiększa przez podniesienie tempa pracy. TRZY LUKI ANKIETY: brak rozróżnienia tier i DPA (free/personal/Team/Enterprise traktowane regulacyjnie jako jedno zjawisko - art. 28 RODO i art. 6 PoA wymagają rozróżnienia consumer ToS bez DPA od Team/Enterprise z DPA), brak rozróżnienia konto firmowe vs prywatne (ukrywa shadow IT - prawnik kopiujący fragment sprawy do prywatnego konta po godzinach to inne ryzyko niż firmowe z polityką AI), self-selection bias CAWI (dystrybucja przez patronów dużych kancelarii niesie skewing w stronę prawnika tech-savvy, liczba 87 procent jest dolnym progiem adopcji w segmencie tech-savvy nie estymatorem dla całej populacji). MAPPING NA POLSKIE INSTRUMENTY: tajemnica zawodowa art. 6 PoA i art. 6 RP (87 procent użycia AI = 87 procent prawników wprowadza fragment sprawy do narzędzia, wprowadzenie tajemnicy bez DPA to potencjalne naruszenie deontologiczne); RODO art. 28 (DPA z każdym procesorem - konto firmowe nie prywatne) plus art. 32 (środki techniczno-organizacyjne adekwatne - polityka AI plus szkolenie plus scope plus audyt logów) z cross-reference do Aktualności 30.04 o DPA per edycja Workspace Business Standard/Plus/Enterprise vs Workspace Individual/Business Base bez DPA; AI Act art. 26 (deployer obligations - dokumentacja użycia AI, nadzór ludzki, monitoring, raportowanie incydentów); KEA i KERP nie zawierają jeszcze eksplicytnych norm o AI ale art. 6 staranności zawodowej, art. 7 etycznego zakończenia, dochowania tajemnicy, niezależności filtrują 87 procent użycia. SZEŚĆ BRAKUJĄCYCH WARSTW: brak rozróżnienia DPA i tier per narzędzie (najpoważniejsza luka, w przyszłej edycji ankieta powinna zadać oddzielnie free/personal/Team-Enterprise z DPA), brak rozróżnienia konto firmowe vs prywatne (dwa różne ryzyka deontologiczne i regulacyjne), brak korelacji adopcja AI - polityka AI w kancelarii (hipoteza MateMatic ułamek tych 87 procent), brak korelacji adopcja AI - szkolenie z AI (po szkoleniu vs samouk z YouTube), brak rozdzielenia in-house od kancelarii zewnętrznej w sekcji narzędzi AI mimo że transformacja in-house ma osobne pytanie z 33 procent wdrożenia AI, brak kategorii lokalnych LLM (Bielik, PLLuM, Llama on-premise, Mistral - jedyne narzędzia gwarantujące pełną zgodność z tajemnicą zawodową). PIERWSZY TOM W BAZIE WIEDZY MateMatic Z EMPIRYCZNYMI DANYMI ADOPCJI AI W POLSKIM RYNKU PRAWNICZYM otwiera kategorię "raporty branżowe Polska"; direct complement do BW/050 Krause Moneyball (Krause uczy jak liczyć kancelarię, Supesu pokazuje jak polskie kancelarie używają AI - razem mapa zarządcza), direct partner do BW/040 King vendor assessment (King daje 33 pytania audytowe, Supesu pokazuje których dostawców polski rynek już używa), direct complement do BW/039 RAII polityka AI (RAII daje szablon, Supesu pokazuje skalę problemu - 87 procent prawników bez polityki), direct partner do BW/036 Kuśmierek polski kontekst LegalTech (jakościowo-ilościowa mapa); cross-reference do Aktualności 30.04.2026 o Workspace MCP plus Gemini Enterprise (operacyjne pytanie - na jakiej edycji licencji prawnicy używają Copilot, czy mamy DPA, czy treść trafia poza Tenant); cross-reference do BW/049 Uberti-Bona Marin techno-normative AI accuracy (Supesu pokazuje że research prawny 81 procent to top use case AI, najczęstszy obszar gdzie halucynacja AI niekontrolowana wprost przekłada się na pismo procesowe); razem z BW/042 AICDI Responsible AI (13 procent firm globalnie ma framework governance, 87 procent prawników w PL używa AI - gap masowa adopcja narzędzi vs minimalna adopcja governance to luka, którą MateMatic wypełnia jako vendor-agnostic edukator). CO MateMatic WNIESIE: audyt adopcji AI w kancelarii w trzech sesjach - tier i DPA per narzędzie (ChatGPT, Copilot, Perplexity, Claude, lokalne LLM), polityka firmowa i scope'y (kto może używać czego, w jakich sprawach, na jakich danych), szkolenie zespołu z mapowaniem na art. 6 prawa o adwokaturze, art. 28 i 32 RODO, art. 26 AI Act; deliverable polityka AI plus rejestr scope'ów plus program szkoleniowy. - [Krause uczy kancelarie liczyć jak Billy Beane. Profit Formula z pięcioma składnikami i system ocen klientów A-F.](https://matematicsolutions.com/baza-wiedzy/2026-04-30-krause-moneyball-for-lawyers.html): Jeffrey S. Krause (Affinity Consulting Group, partner, atorney, technology guru, ABA TECHSHOW speaker) - Moneyball for Lawyers: Using Data to Build a Major-League Practice (prezentacja konferencyjna i ebook 2017-2025, paywall Affinity Consulting - MateMatic NIE hostuje PDF lokalnie); RECENZJA REFERENCYJNA OPARTA NA PUBLICZNYCH SYNTEZACH pod prawem cytatu (art. 29 ustawy o prawie autorskim) z pięciu źródeł: Wisconsin Bar Inside Track vol. 11 issue 21 grudzień 2019, Illinois State Bar Association IBJ kwiecień 2017, Missouri Bar News (Moneyball analytics what law firms can learn from sports), Lawyerist Podcast 474 listopad 2023 (Stephanie Everett, Zack Glaser, Sara Muender) Unlocking Profitability with Moneyball Tactics, Lawyerist Podcast grudzień 2025 The Hidden Cost of Bad Clients; CENTRALNA TEZA: kancelarie robią z danymi to samo, co MLB przed 2002 rokiem - patrzą na surface numbers (revenue, expenses, billable hours), ignorują głębsze metryki, decydują "gut feeling" zamiast danymi; TRZY OPERACYJNE NARZĘDZIA: 1. PROFIT FORMULA z pięcioma multiplikatywnymi składnikami (Leads × Conversion × Transactions × Rate × Margin = Profit) z efektem złożonym 61% wzrostu zysku przy 10% wzroście w każdym składniku ("100 leads × 25% conversion = 25 clients × 2 transactions × $5,000 = $250,000 revenue × 40% margin = $100,000 profit"; cztery z pięciu składników to sales i marketing - kancelarie obsesyjnie tną koszty tylko piątego składnika margin); 2. SYSTEM OCEN KLIENTÓW A-F z korelacją do źródeł leadów (A great to work with pay on time when phone rings happy to take call send other people your way; D/F take up a lot of extra time make unreasonable demands complain about bill demand discounts don't pay on time); 3. HIDDEN COST OF BAD CLIENTS (rozwinięty grudzień 2025) trzy ukryte koszty: opportunity cost czasu zespołu spędzonego z F zamiast A, koszt moralny zespołu z rotacją obsługującą trudnych klientów, koszt reputacyjny F-clients polecających kolejnych F-clients w swoim networku; KLUCZOWE METRYKI których kancelarie nie śledzą: lead conversion rate (kancelarie deklarują 90% prawda branżowa 20-30%), collection realization (% klientów płacących na czas), client source correlation (które kanały marketingowe dają jakie kategorie klientów), time allocation (godziny tracone na non-billable porządkowanie biurka otwieranie poczty); REVENUE vs PROFITABILITY: discount = ukryty koszt (aby osiągnąć $250K przy zniżce trzeba 28 klientów zamiast 25 - 11% więcej burden), 10% rate increase = możesz stracić 10% klientów i utrzymać przychód, monthly/weekly tracking > annual ("the real story is how it's growing month to month"); MAPPING NA POLSKIE INSTRUMENTY: warstwa tajemnicy zawodowej i deontologii - oceny A-F nie mogą być przedmiotem dyskusji z osobami trzecimi (art. 6 PoA, art. 3 ustawy o radcach prawnych - wewnętrzny dokument zarządczy chroniony tajemnicą), zakończenie współpracy z F musi spełniać art. 7 KEA (etyczne zakończenie pełnomocnictwa) i art. 16 KEA (obowiązek poinformowania o terminach procesowych) - nie można "wyrzucić" klienta z dnia na dzień jeśli grozi to naruszeniem jego praw procesowych, system A-F nie może być instrumentem dyskryminacji; warstwa RODO - profilowanie klienta art. 4 ust. 4 RODO, trzy obowiązki: rejestr czynności art. 30 RODO odrębny cel "zarządzanie wewnętrzne kancelarii i ocena rentowności klientów", ograniczenie dostępu art. 32 (zarząd, partner odpowiedzialny), odpowiedź na żądanie klienta art. 15 RODO (jeśli klient zażąda kopii danych kancelaria musi przekazać również ocenę A-F z uzasadnieniem); warstwa polskiego rynku - kancelarie 1-5 osobowe 60% rynku, 5-30 osobowe 30%, BigLaw 30+ 10%; Profit Formula skalowalna ale system A-F sprawdza się najlepiej w 5-30 osobowych (solo intuicyjnie zna klientów, BigLaw potrzebuje automatyzacji której Krause nie omawia); klient publiczny (JST, spółki SP, ministerstwa) skomplikowany - F finansowo (długie terminy płatności biurokracja) ale A reputacyjnie; warstwa AI i mostek do MateMatic - klient F zajmujący 20% czasu zespołu = dokładnie zadania które agent AI z human-in-the-loop może obsłużyć z mniejszym kosztem (automatyczne odpowiedzi na powtarzalne pytania, generowanie szkiców pism, wstępna analiza dokumentów); bez systemu A-F kancelaria nie wie gdzie wdrażać agentów - mając system A-F precyzyjnie alokuje agentów AI do klientów F oszczędzając ludzkie godziny dla A; PIĘĆ BRAKUJĄCYCH WARSTW: brak warstwy AI i agentów dziedzinowych (Krause od 2017 - przed erą operacyjnych agentów; polska kancelaria dopisuje SZÓSTY składnik formuły AI Augmentation Ratio dający formułę sześcioskładnikową z efektem złożonym 77% wzrostu zysku przy 10% wzroście każdego składnika), brak warstwy regulacyjnej (amerykańska specyfika gdzie state bar association skupia się na deontologii nie ekonomii praktyki - polski adwokat NRA i radca KIRP filtruje rekomendacje przez zasady etyki samorządowej), brak warstwy polskiej skali (Krause $200K-500K kancelaria solo USA, polska 800K-2M PLN kancelaria solo 5-osobowa - margins niższe niższe stawki godzinowe), brak warstwy data analytics tooling (Krause "track these metrics" bez konkretnych narzędzi - polska kancelaria potrzebuje stack: CRM HubSpot/Pipedrive/LiveSpace, billing Mecenas Pro/Clio, data warehouse Google Workspace+Looker Studio), brak warstwy "enough is enough" (Krause sprzedaje optymalizację - przeciwwaga: niektóre polskie kancelarie świadomie pozostają 5-osobowe ze względu na jakość życia partnerów; Profit Formula = środek do życia nie cel sam w sobie); use case'y: partner zarządzający kancelarii 5-30 osobowej - obowiązkowo (60-70% wzrost zysku w skali roku przy systematycznym wdrożeniu pięciu mikro-eksperymentów), solo praktyk planujący skalowanie do 3-5 osób - tak (matematyczny argument w którym składniku tkwi największy potencjał wzrostu), compliance officer/IOD - selektywnie (audyt A-F pod RODO art. 4 i 32 plus tajemnica zawodowa), marketingowiec/dyrektor sprzedaży - obowiązkowo (korelacja źródeł leadów do A-F = mapa decyzji budżetowych marketing), zarząd BigLaw 30+ - selektywnie (Profit Formula skalowalna ale A-F wymaga automatyzacji której Krause nie dostarcza), adwokat doradzający korporacji - tak (transferowalne na klienta B2B w branżach deweloperskiej/doradczej/IT), klient indywidualny - nie polecam; PIERWSZY TOM W BAZIE WIEDZY POŚWIĘCONY WEWNĘTRZNEJ EKONOMII KANCELARII otwiera DWUNASTĄ WARSTWĘ STACK'U GOVERNANCE MateMatic; direct complement do BW/049 Uberti-Bona Marin techno-normative AI accuracy (rygor pomiaru AI plus rygor pomiaru ekonomii = framework data-driven law firm), direct partner do BW/047 Turing PBG (etyka AI sektora publicznego plus ekonomia kancelarii prywatnej), direct complement do BW/040 King vendor assessment (matematyczna decyzja "czy" warto kupować LegalTech plus operacyjna decyzja "który" dostawca); razem z BW/044 WEF/Capgemini (sektor publiczny gotowość plus sektor prywatny gotowość kancelarii); CO MateMatic WNIESIE: audyt Profit Formula plus mapowanie A-F dla polskiej kancelarii w trzech sesjach - warstwa pomiaru pięciu składników z benchmarkiem polskiego rynku, warstwa klasyfikacji klientów z filtrem deontologicznym i RODO, warstwa AI Augmentation Ratio jako szóstego składnika dostępnego w erze agentów dziedzinowych - Profit Formula zwraca się przez agentów AI obsługujących klientów F-kategorii oszczędzając godziny zespołu dla A - [Maastricht i Tübingen mówią adwokatowi: "accuracy" nie jest pomiarem, jest wyborem normatywnym.](https://matematicsolutions.com/baza-wiedzy/2026-04-30-uberti-bona-marin-techno-normative-ai-accuracy.html): Lucas G. Uberti-Bona Marin, Bram Rijsbosch, Kristof Meding, Gerasimos Spanakis, Gijs van Dijck, Konrad Kollnig (Maastricht University Law & Tech Lab plus University of Tübingen Computational Law Lab) - Is your AI Model Accurate Enough? The Difficult Choices Behind Rigorous AI Development and the EU AI Act, FAccT '26 (ACM Conference on Fairness, Accountability, and Transparency, Montreal 25-28 czerwca 2026), arXiv:2604.03254v2 [cs.CY], 28.04.2026 (19 stron, licencja CC BY 4.0 - MateMatic hostuje PDF lokalnie z atrybucją); CENTRALNA TEZA: accuracy w systemach AI nie jest property obiektywnym, mierzalnym i czysto technicznym - jest sumą czterech techno-normative choices, z których każdy ma konsekwencje prawne pod art. 15 AI Act i społeczne dla affected persons w obszarach high-risk (healthcare, public administration, law enforcement); KLUCZOWE POJĘCIE techno-normative choices: choices that are simultaneously technical and normative, where the technical implementation determines how normative assumptions materialise in practice - nie istnieje czysto techniczne rozwiązanie problemu accuracy w high-risk AI; STRUKTURA 8 SEKCJI: 1 Introduction, 2 Accuracy in EU AI Act (2.1 high-risk requirements, 2.2 function of accuracy obligation), 3 From Legal Requirements to Technical Practice (3.1 ML workflows, 3.2 illustrative use case), 4-7 cztery techno-normative choices każda z relevance to AI Act plus technical considerations, 8 Conclusions How to Reach More Meaningful Performance Evaluations; CZTERY TECHNO-NORMATIVE CHOICES: Choice 1 Selecting Metrics (precision/recall/F1/MCC/AUC - który wybór dla którego ryzyka, accuracy mylące dla zbiorów niezbalansowanych), Choice 2 Balancing multiple metrics (jak rozstrzygnąć trade-off między fałszywie dodatnimi a fałszywie ujemnymi - decyzja zarządu z dokumentacją uzasadnienia, nie inżyniera), Choice 3 Measuring metrics (na jakim datasecie z jakim sample bias - in-distribution vs out-of-distribution, reprezentacja grup demograficznych klienta), Choice 4 Determining acceptance thresholds (jaki cutoff jest "good enough" - zależy od kosztu błędu, bazowej częstości problemu, dostępności alternatyw, regulacyjnego minimum, ekonomii deploymentu); MAPPING NA POLSKIE INSTRUMENTY: warstwa AI Act - Choice 1 i 2 → art. 15 (accuracy/robustness/cybersecurity) plus art. 9 (risk management identyfikacja i mitygacja błędów), Choice 3 → art. 10 (data and data governance jakość/prowenience/reprezentatywność datasetu), Choice 4 → art. 14 (human oversight - decyzja o progu wymaga nadzoru ludzkiego, nie inżynieryjnego), wszystkie cztery zasilają art. 13 (transparency to deployers - dokumentacja czterech wyborów dla deployera) plus art. 26 (deployer obligations - klient-deployer ma obowiązek zrozumieć cztery wybory dostawcy); warstwa RODO - art. 22 (zautomatyzowane decyzje) plus art. 35 (DPIA) wymagają dokumentacji wyborów wpływających na osobę, cztery techno-normative choices SĄ tą dokumentacją; bez dokumentacji decyzja zautomatyzowana nie spełnia wymogu rozliczalności art. 5 ust. 2 RODO ani prawa do informacji o logice decyzji art. 15 ust. 1 lit. h RODO; warstwa polskiego sektora LegalTech - cztery konkretne pytania audytowe do dostawcy: jaką metrykę optymalizujecie i dlaczego (Choice 1), jak balansujecie precision/recall i kto ustalił trade-off (Choice 2), na jakim datasecie mierzyliście accuracy i czy obejmuje polskie orzecznictwo z ostatnich 24 miesięcy (Choice 3), jaki jest próg akceptacji i czy klient kancelaria może go renegocjować (Choice 4); warstwa tajemnicy zawodowej - Choice 3 musi być wykonywane na datasecie który nie zawiera akt klientów lub jest fully anonymized zgodnie z art. 4 ust. 5 RODO; KEY INSIGHT: dotychczas dostawca LegalTech mówił klientowi "nasz model ma 94% accuracy więc spełnia art. 15 AI Act" - po tym paperze polska kancelaria odpowiada "94% pod jaką metryką, balansowaną w jaki sposób, na jakiej próbie, z jakim progiem akceptacji - i kto poniesie koszt błędów po waszej stronie wyboru"; PIĘĆ BRAKUJĄCYCH WARSTW dla polskiej kancelarii: brak warstwy LLM-ów i generatywnej AI (paper o klasyfikacji, nie generative; aplikowalne ale wymagają tłumaczenia z metryki klasyfikacyjnej na metrykę generative), brak konkretnego illustrative use case z sektora prawnego (use case prawdopodobnie healthcare lub public sector classification), brak rekomendacji konkretnych progów accuracy dla różnych domen (autorzy słusznie nie chcą ustanawiać arbitralnych standardów ale luka praktyczna), brak warstwy odpowiedzialności cywilnoprawnej za błędy modelu (paper omawia konsekwencje społeczne nie cywilne - polska kancelaria dopisuje art. 415/471 KC), brak pomysłu na automatyzację audytu czterech choices; use case'y: compliance officer kancelarii doradzającej dostawcy LegalTech - obowiązkowo (cztery techno-normative choices wprost do regulaminu wewnętrznego dokumentacji art. 15 AI Act), adwokat reprezentujący klienta-deployera kupującego LegalTech - obowiązkowo (cztery pytania audytowe zmieniają dynamikę rozmowy zakupowej), adwokat reprezentujący stronę postępowania administracyjnego z udziałem AI - obowiązkowo (argument accuracy jako techno-normative choice przesuwa ciężar dowodu z obywatela na organ administracji), IOD organów administracji publicznej i regulatorów - obowiązkowo (mapowanie na art. 35 RODO DPIA dostarcza struktury raportu), polski startup LegalTech (Gaius-Lex/Datapoint/Lexagent) - obowiązkowo jako narzędzie sprzedażowe (dokumentacja czterech choices to inwestycja w wiarygodność), klient-zarząd polskiej spółki bez doradcy - tylko Sekcja 1 i 8 (wartość pojęciowa świadomości accuracy jako wyboru), mała kancelaria 5-10 osobowa bez klientów-deployerów AI - selektywnie (lepsza inwestycja BW/047 Turing PBG lub BW/039 RAII); razem z BW/034 Kumaran (LLM biases pomiaru choice-supportive plus hypersensitivity), BW/035 Laban (delegacja LLM korumpuje dokumenty - empiryczny argument za rygorystycznym pomiarem), BW/047 Turing PBG Framework (sześć zasad SSAFE-D plus jedenaście etapów cyklu - cztery choices są operacyjną dekompozycją zasady Safety w etapach Model Testing & Validation oraz System Use & Monitoring), BW/046 Berkeley CLTC (cztery funkcje GMMM - Choice 1-4 pogłębiają funkcję MEASURE w czterech wyborach), BW/045 Kenney runtime enforcement (Zasada 2 continuous authorization - cztery choices są continuous techno-normative re-evaluation), BW/040 King vendor assessment (33 pytania w 12 domenach plus cztery dodatkowe pytania performance evaluation), BW/038 Smuha Cambridge Handbook (akademia plus operacja) MateMatic ma JEDENASTOWARSTWOWY STACK GOVERNANCE z BW/049 jako warstwą rygorystycznego pomiaru accuracy - bez tej warstwy stack mówi co robić z accuracy ale nie mówi jak ją audytować; CO MateMatic WNIESIE: audyt czterech techno-normative choices w polityce AI klienta-deployera w trzech sesjach - warstwa wyboru metryki dla konkretnego use case (precision/recall/F1/MCC z mapowaniem na koszt błędów), warstwa balansowania trade-offów z dokumentacją uchwały zarządu, warstwa pomiaru na reprezentatywnym datasecie z polskimi danymi i grupami demograficznymi, warstwa progu akceptacji z cyklem rewizji - [Komisja ocenia własną ustawę o gatekeeperach. Polska kancelaria czyta to za sprzedawcę z Allegro.](https://matematicsolutions.com/baza-wiedzy/2026-04-30-ec-dma-review-swd-2026-123.html): European Commission - Commission Staff Working Document accompanying the Report on the Review of Regulation (EU) 2022/1925 (Digital Markets Act) in accordance with Article 53, SWD(2026) 123 final towarzyszący COM(2026) 178 final, Brussels 28.04.2026 (87 stron, licencja CC BY 4.0 wedle Decision 2011/833/EU - PDF hostowany lokalnie z atrybucją); PIERWSZY OFICJALNY PRZEGLĄD DMA wymagany przez art. 53 - termin statutowy 3 maja 2026, opublikowany 28 kwietnia (cztery dni wcześniej); SIEDMIU DESIGNOWANYCH GATEKEEPERÓW na 30.04.2026: Alphabet (Google Search/Maps/Play/Chrome/YouTube/Android/Ads), Apple (App Store/iOS/iPadOS/Safari), Meta (Facebook/Instagram/WhatsApp/Messenger/Marketplace/Ads), Amazon (Marketplace/Ads), Microsoft (Windows/LinkedIn), ByteDance (TikTok), Booking.com (online intermediation services); STRUKTURA 4 SEKCJI: Sekcja 1 Introduction, Sekcja 2 Assessment of contributions w sześciu obszarach (2.1 control over data art. 5, 2.2 opening-up ecosystems art. 6, 2.3 fair online search, 2.4 fair online marketplaces, 2.5 advertising transparency, 2.6 other obligations), Sekcja 3 Reporting requirements (3.1 koncentracje art. 14, 3.2 audytowane raporty profilowania konsumentów art. 15), Sekcja 4 Assessment of scope (4.1 cloud computing, 4.2 inne CPS); KLUCZOWE POJĘCIE: ex ante regulatory framework jako fundamentalna nowość vs ex post art. 102 TFUE i art. 9 ustawy o ochronie konkurencji - DMA działa prewencyjnie nakładając obowiązki niezależnie od wykazania szkody; EMPIRYCZNA MAPA COMPLIANCE SOLUTIONS: Meta "Consent or Pay" advertising model uznany non-compliant decyzją Komisji 24.04.2025 (Meta apeluje), Meta "less-personalised ads" alternatywa, ByteDance consent screen dla personalizowanych reklam, Microsoft less-personalised LinkedIn opcja, Apple/Booking własne rozwiązania choice screens i data portability APIs; ARTYKUŁY KLUCZOWE: art. 5 obowiązki samowykonalne (data combination, anti-steering, MFN), art. 6 obowiązki specyfikacji (data portability, FRAND access, sideloading, choice screens, anti self-preferencing), art. 7 interoperability messaging plus open question rozszerzenia na social networks, art. 14 notyfikacja koncentracji niezależnie od progów EUMR 139/2004, art. 15 audytowane raporty profilowania osobno dla każdego CPS; MAPPING NA POLSKIE INSTRUMENTY: warstwa polskiej ustawy o ochronie konkurencji - DMA jest aktem unijnym bezpośrednio stosowalnym, jedynym egzekutorem Komisja Europejska wedle art. 38 DMA, ale UOKiK ma własną jurysdykcję pod art. 9 ustawy polskiej (nadużycie pozycji dominującej) - możliwa równoległa ścieżka; warstwa AI Act - art. 5 DMA (zakaz łączenia danych) i AI Act art. 5(1)(a) (manipulative AI techniques) mają nakładające się obszary, gatekeeper stosujący AI-powered targeting łączący dane bez zgody narusza oba reżimy, art. 15 DMA (audited consumer profiling) jest technologiczną implementacją wymogów AI Act art. 12 i art. 27 FRIA dla high-risk AI w zakresie profilowania; warstwa polskich biznesowych użytkowników - sprzedawcy Amazon Marketplace (DMA art. 6(2) zakaz used data o sprzedawcach do konkurencji), polscy deweloperzy w App Store (art. 5(7) alternative payments, art. 6(4) sideloading), polscy advertiserzy Meta/Google Ads (art. 5(2) zgoda na łączenie, art. 6(8) data portability for advertisers), polskie hotele Booking (art. 5(3) anti-MFN), polscy wydawcy w Google Search (art. 6(5) anti self-preferencing); warstwa tajemnicy zawodowej - specyficzny problem komunikacji z klientem przez Gmail/iMessage/WhatsApp/Microsoft Teams/LinkedIn (kanały gatekeeperów), gdy klient skarży gatekeepera mamy potencjalny konflikt strukturalny, mitigacja: end-to-end encrypted spoza ekosystemu (Signal, Threema), klauzula tajemnicy w umowie z klientem; CZTERY BRAKUJĄCE WARSTWY: brak wymiaru polskiego rynku (SWD ogólnounijny, brak danych ile polskich business users skorzystało z DMA enforcement), brak deklaracji agendy autorskiej (Komisja ocenia własny akt, sama implementuje, sama egzekwuje - strukturalny konflikt interesów), brak warstwy odpowiedzialności cywilnoprawnej za szkody (polska kancelaria dopisuje art. 415 i 471 KC plus dyrektywa 2014/104/UE private antitrust enforcement implementowana ustawą 2017), brak praktycznego przewodnika dla MŚP (język urzędniczo-akademicki, brak flowchartu decyzyjnego); KEY INSIGHT: ex ante regulatory framework DMA daje polskiej kancelarii narzędzie do działania zanim szkoda wystąpi - lub do egzekucji obowiązku gatekeepera niezależnie od wykazania szkody, co jest fundamentalną zmianą wobec dotychczasowego art. 102 TFUE i art. 9 ustawy polskiej; PIERWSZY TOM W BAZIE WIEDZY POŚWIĘCONY REGULACJI KONKURENCJI sektora cyfrowego, dziesiąta warstwa stack'u governance MateMatic obok dotychczasowych frameworków etyki AI; use case'y: adwokat reprezentujący polskiego business usera gatekeepera - obowiązkowo (mapa praw klienta wynikająca z art. 5/6/7), kancelaria doradzająca polskim deweloperom App Store/Google Play - obowiązkowo (sideloading/choice screens/FRAND access), adwokat polskich sprzedawców Amazon - obowiązkowo (art. 6(2) zakaz used data plus art. 5(3) anti-MFN), kancelaria polskich hoteli Booking - obowiązkowo (art. 5(3) rate parity, art. 6(8) data portability marketingowa), adwokat doradzający w M&A z gatekeeperami - obowiązkowo (art. 14 notyfikacja koncentracji), UOKiK i polski regulator - tak jako materiał benchmarkowy, compliance officer kancelarii bez klientów-business users - selektywnie (lepiej BW/047 Turing lub BW/039 RAII), klient-zarząd polskiej spółki bez doradcy - nie polecam bezpośrednio; razem z BW/001 Kenney Governing Agents (cztery reżimy + DMA jako PIĄTY reżim regulacyjny dla agentów AI w ekosystemach gatekeeperów), BW/047 Turing (etyka AI sektora publicznego + DMA regulacja sektora prywatnego = pełna mapa high-risk AI w UE), BW/044 WEF/Capgemini (gdzie sektor publiczny może wdrażać AI + jak sektor prywatny już wdraża AI w CPS), BW/030 ENISA Security-by-Design (security w cyklu życia + otwartość/contestability DMA - bilansowanie napięcia art. 6(7) FRAND access bez kompromisu integrity), BW/043 OASIS CoSAI (capability-based authorization + DMA art. 6(7) i art. 7 interoperability) MateMatic ma DZIESIĘCIOWARSTWOWY STACK GOVERNANCE z BW/048 jako pierwszą warstwą regulacji rynkowej; CO MateMatic WNIESIE - audyt uprawnień klienta-business usera gatekeepera w trzech sesjach: mapowanie obowiązków DMA wobec konkretnego gatekeepera, opracowanie matrycy decyzyjnej "ścieżka unijna vs polska vs cywilnoprawna", przygotowanie szablonu skargi do Komisji lub UOKiK z uwzględnieniem powiązań DMA-AI Act-RODO - [Alan Turing Institute pisze etykę AI dla brytyjskiego urzędnika. Polska kancelaria czyta to za polskiego.](https://matematicsolutions.com/baza-wiedzy/2026-04-30-leslie-turing-ai-ethics-governance-introduction.html): David Leslie, Cami Rincón, Morgan Briggs, Antonella Perini, Smera Jayadeva, Ann Borda, SJ Bennett, Christopher Burr, Mhairi Aitken, Michael Katell, Claudia Fischer (Public Policy Programme, The Alan Turing Institute) - AI Ethics and Governance in Practice: An Introduction (2023, Version 1.2, 68 stron, licencja CC BY 4.0 - MateMatic hostuje PDF lokalnie z atrybucją); PIERWSZY Z OŚMIU WORKBOOKÓW curriculum aktualizującego oryginalne UK Government Public Sector Guidance on AI Ethics and Safety z 2019 roku, zlecony i finansowany przez Office for AI plus UKRI Strategic Priorities Fund EPSRC Grant EP/W006022/1; rekomendacja aktualizacji w UK National AI Strategy 2021 jako key action; programme zorganizowany w 8 workbookach: ten Introduction plus AI Sustainability Part One i Part Two, AI Safety, AI Accountability, AI Fairness, AI Transparency and Explainability, Responsible Data Stewardship plus tom horyzontalny; STRUKTURA: Part One s. 10-30 (introduction to AI/ML, supervised/unsupervised/reinforcement, ograniczenia), Part Two s. 31-65 (sociotechnical aspect of AI/ML project lifecycle z trójpoziomową architekturą i jedenastoetapowym cyklem), Part Three s. 66-68 (Activities - warsztaty grupowe); TRÓJPOZIOMOWA ARCHITEKTURA: poziom 1 SUM Values jako fundament normatywny (basic and fundamental beliefs), poziom 2 SSAFE-D Principles jako sześć actionable goals (Sustainability, Safety, Accountability, Fairness, Explainability, Data Stewardship), poziom 3 PBG Framework Process-Based Governance jako mechanizm integracji SSAFE-D w cyklu życia plus szablon dokumentacji governance; JEDENASTOETAPOWY CYRKULARNY CYKL ŻYCIA z Burr i Leslie 2022: trzy meta-fazy DESIGN (Project Planning, Problem Formulation, Data Extraction or Procurement, Data Analysis), DEVELOPMENT (Preprocessing & Feature Engineering, Model Selection & Training, Model Testing & Validation), DEPLOYMENT (System Implementation, User Training, System Use & Monitoring, Model Updating or Deprovisioning) z delineated boundary między fazą projektową a modelarską; KLUCZOWE POJĘCIE socjotechniczne agenda-setting power - władza ustawiania agendy, fenomen w którym sama decyzja nie jest największym źródłem problemu tylko fakt że pojawiła się jako temat do rozważania podczas gdy alternatywy zostały wykluczone z dyskusji jeszcze przed jej rozpoczęciem; CARE i ACT Framework dla Responsible Research and Innovation; MAPPING NA POLSKIE INSTRUMENTY: warstwa AI Act - Sustainability → art. 13 trwała transparentność i motyw preambuły o sustainable AI plus art. 72 post-market monitoring jako technologiczne wykonanie sustainability, Safety → art. 9 risk management throughout lifecycle plus art. 15 accuracy/robustness/cybersecurity, Accountability → art. 14 human oversight plus art. 26 deployer obligations plus art. 50 transparency obligations, Fairness → art. 10 data and data governance plus motyw 56, Explainability → art. 13 transparency to deployers plus art. 86 right to explanation of individual decision-making, Data Stewardship → art. 10 plus pełen reżim RODO; warstwa RODO - Data Stewardship z 5 podzasad mapowane 1:1 (quality→art. 5 ust. 1 lit. d, provenance→art. 5 ust. 1 lit. a plus art. 14, integrity→art. 5 ust. 1 lit. f, fairness→art. 5 ust. 1 lit. a, data minimization→art. 5 ust. 1 lit. c), PBG Framework jako mechanizm dokumentowania → art. 5 ust. 2 rozliczalność, faza Design Project Planning + Problem Formulation → art. 35 DPIA jako natywny ekwiwalent procedury; warstwa polskiego sektora publicznego - workbook dostarcza importowanego know-how (UK ma od 2019 oficjalne wytyczne, Polska nie ma), kancelaria obsługująca KPRM/MC/samorządy/sądy administracyjne adaptuje SUM Values do polskich wartości konstytucyjnych (art. 30 godność, art. 32 równość, art. 2 państwo prawa); warstwa tajemnicy zawodowej - PBG Framework etap Data Extraction or Procurement plus walling dla danych z postępowań w których kancelaria może być stroną reprezentującą obywatela; rozliczalność dwuwarstwowa wobec organu publicznego i wobec NRA/KIRP; CZTERY BRAKUJĄCE WARSTWY: brak referencji do AI Act i unijnego prawa (workbook 2023, AI Act 2024 - kancelaria wykonuje przekład regulacyjny), brak referencji do ECHR i KPP UE (workbook cytuje brytyjski Equality Act 2010 i Human Rights Act 1998 nie europejski reżim praw człowieka), UK-specific case studies (NHS≠NFZ, council≠urząd gminy), brak warstwy responsabilizacji cywilnoprawnej (accountability jako audytowalność a nie odpowiedzialność za szkodę - polska kancelaria dopisuje art. 417 i art. 417¹ KC); KEY INSIGHT: trójpoziomowa architektura SUM-SSAFE-D-PBG to brakujący wzorzec polityki etyki AI dla polskiego sektora publicznego, polska kancelaria proponuje klientowi-administracji politykę etyki AI jurysdykcyjnie polską w warstwie wartości, regulacyjnie unijną w warstwie zasad, operacyjnie brytyjską w warstwie procesu - produkt którego polski rynek dotąd nie miał; use case'y: kancelaria obsługująca administrację publiczną (KPRM/ministerstwa/samorządy) - obowiązkowo (gotowy wzorzec polityki po sześciu mapowaniach), compliance officer kancelarii świadczącej AI advisory - obowiązkowo (sześć zasad SSAFE-D do regulaminu plus PBG jako operacjonalizacja art. 5 ust. 2 RODO), adwokat doradzający urzędowi przed wdrożeniem AI - obowiązkowo (agenda-setting power przesuwa pozycjonowanie na strategiczne), IOD organów administracji publicznej - tak (Data Stewardship plus PBG = art. 5 i art. 35 RODO), konsultant LegalTech doradzający dostawcy AI dla administracji - tak (jedenastoetapowy cykl + delineated boundary = klarowna granica odpowiedzialności kontraktowej), mała kancelaria 5-10 osobowa bez klientów-administracji - selektywnie (pojęciowa wartość, operacyjnie lepiej BW/039 RAII lub BW/040 King), klient-zarząd urzędu bez doradcy - nie polecam (zamiast tego BW/044 WEF/Capgemini Public Sector); razem z BW/044 WEF/Capgemini (decyzja strategiczna o gotowości plus decyzja projektowa o etyce = kompletna mapa decyzyjno-operacyjna sektora publicznego), BW/038 Smuha Cambridge Handbook (akademia plus praktyka), BW/039 RAII Policy Template (struktura plus warstwa procesowa), BW/045 Kenney runtime enforcement (sześć zasad runtime architektoniczne plus jedenaście etapów procesowych), BW/046 Berkeley CLTC GPAI Profile (synthesis standardów dla high-risk privatnego plus stack zasad dla high-risk publicznego), BW/009 MIT AI Risk Repository (taksonomia plus procedura), BW/030 ENISA Security-by-Design (cross-cutting w cyklu życia produktu plus cross-cutting w cyklu życia projektu), BW/001 Kenney Governing Agents (cztery reżimy plus jedenaście etapów procesu) MateMatic ma DZIEWIĘCIOWARSTWOWY STACK GOVERNANCE z BW/047 Turing zamykającym stack od strony cyklu życia projektu - bez tej warstwy stack jest mapą bez procesu; KOLEJNE 7 WORKBOOKÓW SERII to kandydaci na kolejne tomy Bazy Wiedzy w miarę rzetelnej lektury - [Berkeley CLTC syntetyzuje NIST plus ISO plus EU GPAI Code w jednym profilu. Polska kancelaria dostaje meta-mapę governance.](https://matematicsolutions.com/baza-wiedzy/2026-04-29-berkeley-cltc-gpai-risk-management-profile.html): Madkour, Newman, Raman, Jackson, Murphy, Yuan, Hendrycks (UC Berkeley Center for Long-Term Cybersecurity, AI Security Initiative, Berkeley AI Research Lab) - General-Purpose AI Risk-Management Standards Profile V1.2, kwiecień 2026 (drugi annual update, ~150-200 stron, licencja CC BY 4.0 - MateMatic hostuje PDF lokalnie z atrybucją; Dan Hendrycks = dyrektor Center for AI Safety CAIS); SYNTEZA PIĘCIU ŹRÓDEŁ w jednym Profile: NIST AI RMF (cztery funkcje GOVERN/MAP/MEASURE/MANAGE), ISO/IEC 23894 (norma ISO dla AI risk), EU GPAI Code of Practice EC 2025a (kodeks dobrych praktyk wedle art. 56 AI Act), International AI Safety Report 2025 (Bengio et al.), NIST AI 800-1; STRUKTURA: cztery warstwy - konceptualna (Sekcja 1, key terms GPAI Model wedle art. 3 ust. 63 AI Act i GPAI System wedle art. 3 ust. 66, frontier models GPT-5.4/Claude Sonnet 4.6/Gemini 3.1 Pro/Llama 4.1), metodologiczna (Sekcja 2 components, Section 2.2.1 risk taxonomies syntetyzująca cztery taksonomie), preskryptywna (Sekcja 3 Guidance jako rdzeń), eksperymentalna (appendices z Roadmap przyszłych wersji); JEDENAŚCIE HIGH-PRIORITY SUBCATEGORIES: Govern 1.4 (oversight, risk thresholds, incident response), Govern 2.1 (roles, responsibilities, lines of communication), Govern 4.2 (documentation), Govern 5.1 NEW v1.2 (external feedback, third-party evaluations), Govern 6 (third-party software/data supply chain), Map 1.1 (intended purposes, context-specific laws), Map 1.5 (organizational risk tolerances), Map 5.1 (likelihood/magnitude impacts), Measure 1.1/1.3/2.7/2.9/3.1 (risk metrics, red-teaming, transparency), Manage 1.3 (high-priority risk responses), Manage 4.1 NEW v1.2 (post-deployment monitoring, incident response, change management, decommissioning); SEKCJA 2.2.1 RISK TAXONOMIES kompiluje cztery konkurencyjne taksonomie ryzyk: MIT Risk Repository (7 kategorii domain-based: dyskryminacja/toxicity, prywatność/security, misinformation, malicious actors, human-computer interaction, socioeconomic/environmental, AI system safety), International AI Safety Report (3 klasy pathway-based: malicious use, malfunctions, systemic issues), NIST GAI Profile (12 ryzyk specyficznych dla generatywnej AI - confabulation, information security, data privacy, abusive content), EU GPAI Code (multi-dimensional: affected social interests + source of risk + systemic risks CBRN/loss of control/cyber offense/harmful manipulation); ROZSZERZENIA v1.2: manipulation and deception (Map 5.1), sandbagging during evaluations (Govern 2.1, Map 5.1), situational awareness, socioeconomic and labor market disruption, possible intractability of removing backdoors (Map 5.1, Measure 2.7); EKOSYSTEM 5 DOKUMENTÓW v1.2: Profile + Quick Guide + Frontier AI Company Practices Evaluation z testami Claude Opus 4.5/GPT-5/Llama 4/Gemini 3 Pro porównawczo z V1.1 + Mapping Key Standards and Regulations (z dodatkiem EU GPAI Code mapping w v1.2) + Transparency Documentation Reporting Recommendations + osobny Agentic AI Risk-Management Standards Profile; MAPPING NA POLSKIE INSTRUMENTY: warstwa AI Act - GOVERN→art. 9 i 17 i 26 ust. 1-2, MAP→art. 9 ust. 2 i art. 27 FRIA, MEASURE→art. 15 i 71 i 12, MANAGE→art. 9 ust. 5 i 26 ust. 4-5 i art. 72 post-market monitoring (Manage 4.1 jako implementacyjny wzorzec), explicit dolewa EU GPAI Code wedle art. 56 AI Act jako reference framework po sierpniu 2026; warstwa RODO - GOVERN 5.1 third-party evaluations → art. 35 ust. 9 RODO DPIA z opinią ekspercką i art. 25 ust. 3 certyfikacja, MAP 1.5 risk tolerances → art. 24 RODO, MANAGE 4.1 post-deployment monitoring → art. 5 ust. 2 rozliczalność i art. 32 ust. 1 lit. d regularne testowanie skuteczności środków technicznych; warstwa tajemnicy zawodowej i KSH - MANAGE 4.1 jako monitorowanie czy agent nie ujawnia tajemnicy w długim cyklu interakcji continuously not point-in-time, GOVERN 1.4 incident response plan jako decyzja zarządu z art. 293 KSH; KEY INSIGHT: Manage 4.1 Berkeley = Zasada 2 Kenneya BW/045 (continuous authorization not point-in-time) = imperatyw #6 OASIS CoSAI BW/043 (prove control on demand) - TRZY NIEZALEŻNE ŹRÓDŁA zbiegają się na ten sam wymóg architektoniczny, najsilniejsza ewidencja dla compliance officera kancelarii; CZTERY BRAKUJĄCE WARSTWY: brak warstwy małego deployera (kancelaria 5-50 osób = downstream user, wartość delegacyjna jako checklist zakupowy), brak polskiej warstwy regulacyjnej (UODO/KNF/UKE/PUODO, KEA/KERP), brak warstwy odpowiedzialności cywilnoprawnej, brak agendy autorskiej w deklaracji (Berkeley CLTC i CAIS Hendrycksa mają pozycję w debacie AI safety, wybór taksonomii odzwierciedla kierunek safety); use case'y: compliance officer kancelarii budujący politykę AI - obowiązkowo (cztery funkcje plus 11 subcategories jako gotowy spis treści), adwokat doradzający dostawcy GPAI/LegalTech - obowiązkowo (plus Frontier AI Company Practices Evaluation jako benchmark), adwokat doradzający kancelarii kupującej LegalTech - obowiązkowo (11 subcategories jako kryteria wyboru obok BW/040 King), IOD kancelarii - tak (mapping GOVERN 5.1 na art. 35 RODO), partner zarządzający bez compliance officera - tylko Sekcje 1, 2.3, 1.5, klient bez poradnika prawnego - nie polecam (zamiast tego BW/044 WEF/Capgemini); razem z BW/039 polityka, BW/040 vendor assessment, BW/041 forecasting, BW/042 benchmark globalny, BW/043 architektura techniczna OASIS CoSAI, BW/044 mapa decyzyjna sektora publicznego, BW/045 zasady runtime enforcement Kenney MateMatic ma OŚMIOWARSTWOWY STACK GOVERNANCE z Berkeley jako warstwą syntezy regulacyjnej spinającą wszystkie pozostałe siedem; trójkąt warstwy MANAGE: BW/043 OASIS protokoły IAM, BW/045 Kenney zasady, BW/046 Berkeley Profile NIST 11 high-priority - trzy poziomy abstrakcji jednego problemu; direct complement do BW/011 NIST AI 800-4 Monitoring (Berkeley rozszerza), BW/035 Laban (empiryczny argument za Manage 4.1), BW/044 WEF/Capgemini (WEF mapuje 70 funkcji rządu, Berkeley dostarcza meta-framework risk management dla każdej z nich) - [Enforcement nie jest szóstą warstwą. Kenney rozprasza go po pięciu istniejących i tłumaczy dlaczego.](https://matematicsolutions.com/baza-wiedzy/2026-04-29-kenney-runtime-enforcement-governance-stack.html): Noah M. Kenney (Founder Digital 520, President Disruptive AI Lab, President Ethical Tech Forum, M.Eng + CIPM IAPP) - Runtime Enforcement and the AI Governance Stack: Embedding Execution Constraint Across the Governance Lifecycle, companion paper do Governing Intelligence (2026 freely available textbook), Digital 520 (8 stron, licencja proprietary - PDF nie hostujemy, link na digital520.com); DRUGI TOM KENNEYA W BW obok BW/001 (Cztery reżimy regulacyjne dla agentów AI: GDPR, EU AI Act, NIST AI RMF, ISO/IEC 42001) - kontynuacja autorskiej linii rozwoju w wymiarze implementacyjnym; STRUKTURA: 8 sekcji, kluczowa teza Sekcji 3 - runtime enforcement NIE jest szóstą warstwą AI Governance Stack tylko cross-cutting capability dojrzewająca w każdej z pięciu istniejących (Data Governance, Model Governance, System Integration, Control & Monitoring, Audit & Evidence) na wzór tego jak security jest cross-cutting w architekturze IT (firewalls + input validation + encryption + monitoring); ENFORCEMENT CAPABILITIES PER WARSTWA: L1 Data Governance (freshness gates, dynamiczna data authorization, purpose limitation at runtime), L2 Model Governance (conditional validity - population drift, concept drift, regulatory drift detection), L3 System Integration (circuit-breaker architectures, policy-as-code engines, capability-based authorization), L4 Control & Monitoring (tightening detection-response loop, monitoring jako constraint nie observation), L5 Audit & Evidence (contemporaneous evidence czyli compliance evidence nie forensic, runtime evidence generation dla art. 72 AI Act post-market monitoring); SZEŚĆ ZASAD DESIGN: (1) distributed not centralized, (2) continuous not point-in-time authorization, (3) contemporaneous evidence not reconstructed, (4) proportional constraints to consequences, (5) context-specific enforcement mechanisms, (6) graceful degradation - fail-closed default ("the failure mode of a governance system should be constraint, not permission"); REGULATORY ALIGNMENT: art. 9 AI Act (risk management throughout lifecycle), art. 11 (technical documentation reflecting current state), art. 72 (post-market monitoring), NIST AI RMF GOVERN/MAP/MEASURE/MANAGE jako ongoing processes; CZTERY DEVELOPMENTS NA ŚCIEŻCE: maturation policy-as-code tooling, industry-specific enforcement standards (financial services, healthcare, critical infrastructure prowadzą), regulatory shift compliance-at-deployment do compliance-in-operation, organizational maturity governance infrastructure; MAPPING NA POLSKIE INSTRUMENTY: zasada 1 → art. 32 ust. 1 RODO (środki techniczne uwzględniając stan techniki), zasada 2 → art. 5 ust. 2 RODO rozliczalność i art. 26 AI Act deployer obligations, zasada 3 → art. 12 AI Act automatic recording of events, zasada 4 → art. 9 AI Act risk-based proportionality plus art. 14 human oversight, zasada 5 → tajemnica zawodowa adwokacka inna niż radcowska inna niż notarialna, zasada 6 → fail-closed jako wymóg audytowalny i decyzja zarządu z art. 293 KSH; KEY INSIGHT DLA POLSKIEJ KANCELARII: tajemnica zawodowa adwokacka (art. 6 PoA, KEA) i radcowska (art. 3 ustawy o radcach prawnych, KERP) nie są at-design constraint tylko at-execution - zasada 2 continuous authorization Kenneya jest dokładnie mechanizmem utrzymania tajemnicy w czasie wykonania agenta, weryfikacja zachodzi nie raz przy podpisaniu polityki tylko continuously w każdej sesji agenta z aktami klienta; CZTERY BRAKUJĄCE WARSTWY: brak warstwy odpowiedzialności cywilnoprawnej za szkodę po fail Zasady 6, brak warstwy KSH dla zarządu kancelarii (decyzja o fail-closed jako uchwała), brak warstwy małej kancelarii (delegacyjna do dostawcy LegalTech), brak linka do oryginału Governing Intelligence w paperze; use case'y: compliance officer kancelarii budujący politykę AI runtime - obowiązkowo (sześć zasad wprost do regulaminu wewnętrznego), adwokat doradzający dostawcy LegalTech - obowiązkowo (Sekcja 4 capabilities + Sekcja 6 alignment z AI Act), adwokat doradzający kancelarii kupującej LegalTech - obowiązkowo (sześć zasad jako kryteria wyboru), IOD kancelarii - obowiązkowo (L1 freshness gates + dynamic authorization = art. 5 ust. 1 lit. b i d RODO), partner zarządzający bez compliance officera - tylko Sekcje 1, 3, 5; klient kancelarii bez poradnika prawnego - nie polecam (zamiast tego BW/044 WEF/Capgemini); razem z BW/001 Kenney Governing Agents (cztery reżimy → architektoniczna implementacja), BW/043 OASIS CoSAI (technical IAM), BW/044 WEF/Capgemini (mapa decyzyjna), BW/039 RAII (struktura polityki), BW/040 King (vendor assessment), BW/041 RAND (forecasting), BW/042 AICDI (benchmark globalny) MateMatic ma siedmiowarstwowy stack governance z autorską linią rozwoju kancelarii czytającej Kenneya od BW/001 do BW/045 jako jedną spójną historię; direct complement do BW/035 Laban (LLMs corrupt documents) - empiryczny argument za zasadą 2 continuous authorization, BW/030 ENISA (security cross-cutting analogia), BW/011 NIST AI 800-4 (rozszerzenie zasad 2 i 3) - [Pięćdziesiąt procent funkcji rządu jest gotowych. WEF i Capgemini mówią które, polska kancelaria pyta po co.](https://matematicsolutions.com/baza-wiedzy/2026-04-29-wef-capgemini-agentic-ai-government.html): World Economic Forum w kolaboracji z Capgemini - Making Agentic AI Work for Government: A Readiness Framework, Insight Report kwiecień 2026 (37 stron, licencja All Rights Reserved - MateMatic NIE hostuje PDF lokalnie, link do weforum.org); ocena 70 core government functions w 9 kategoriach (Public services, Policy and governance, Regulation, Justice, Defence and security, Education, Health, Finance and tax, Infrastructure) na dwóch wymiarach (potential × complexity, każdy z trzema sub-kryteriami); trzy readiness areas: high (top 14% = 10 funkcji, score >1,5), medium (next 36% = 25 funkcji, score 1,0-1,5), low (bottom 50% = 35 funkcji, score <1,0); top 4 high-readiness: cybersecurity monitoring, public information and guidance provision, systems performance monitoring, service appointment and queue management; calculation: readiness score = potential score minus complexity score; pojęcie "agentic state" jako modelu administracji publicznej; Capgemini survey 350 public-sector orgs jako baseline; Gartner cytowany jako cautionary note (40% agentic AI projektów anulowanych do 2027); foreword sygnatariusze: Martina Klement (Berlin Digital), Fabian Mehring (Bavaria CIO), Mohamed Bin Taliah (UAE Cabinet), Ammar Alkassar (GovTech Deutschland), Roshan Soorunsingh Gya (Capgemini Northern Europe), Stephan Mergenthaler (WEF CTO); FILTR TRZECH FILARÓW EKSPLICYTNY: WEF jako instytucja jest w polskim dyskursie kontrowersyjny i Capgemini ma agendę sprzedażową - bierzemy metodologię i empiryczne dane, NIE endorsujemy wydawcy ani sponsora ani tezy "agentic state" jako pożądanego modelu państwa; CZTERY MOCNE WARSTWY DLA KANCELARII: (1) function-based assessment lens jako alternatywa department-based - transposable na funkcje kancelarii (research orzecznictwa = high-readiness; doradztwo strategiczne = low-readiness); (2) capability-impact matrix dla 70 funkcji jako empiryczny dowód że agentic AI startuje od funkcji obsługujących, nie decyzyjnych; (3) calculation methodology readiness=potential-complexity jako powtarzalny szablon scoringu z polską warstwą RODO art. 9 i art. 26 AI Act; (4) augmentation not replacement jako linia obrony pasująca do art. 14 AI Act human oversight; CZTERY BRAKUJĄCE WARSTWY: brak warstwy AI Act art. 26 deployer obligations i art. 27 FRIA, brak warstwy KSH dla spółek komunalnych i Skarbu Państwa (art. 293), brak deklaracji agendy autora (Capgemini sprzedaje wdrożenia), brak polskiego cut'u (Singapur/Estonia/Berlin/Bawaria/ZEA tak, Polska nie); use case'y: adwokat doradzający klientowi z sektora publicznego (ministerstwo, JST, agencja, spółka SP) - tak, ale czytany metodologicznie z polską warstwą regulacyjną; partner zarządzający kancelarii myślący o transformacji - tak, koncept function-based lens applikowany do kancelarii (cytuj metodę nie dokument, klient może mieć anti-WEF reakcję); compliance officer kancelarii - tak, jako uzupełnienie BW/043 (architektura) i BW/039 (polityka); klient bez poradnika prawnego - nie polecam (ukryta agenda, język konsultancki); krytyk WEF z pozycji politycznej - tak, jako materiał krytyczny (dane są weryfikowalne, tezy końcowe na koncie autorów); razem z BW/043 OASIS CoSAI Agentic IAM (architektura techniczna), BW/039 RAII Policy Template (struktura polityki), BW/040 King Vendor Assessment (audyt dostawców), BW/041 RAND Forecasting (monitoring trajektorii), BW/042 AICDI (benchmark globalny) MateMatic ma sześciowarstwowy stack governance AI z warstwą decyzyjną dedykowaną sektorowi publicznemu; direct complement do BW/012 OWASP AIVSS (threat model + opportunity map para); razem z BW/036 Kuśmierek (polski kontekst makro AGI) tworzy parę globalnej mikro-mapy funkcji rządu i polskiego makropostulatu - [Agent musi mieć tożsamość. OASIS CoSAI dostarcza brakujące ogniwo audytu wdrożeń AI w kancelarii.](https://matematicsolutions.com/baza-wiedzy/2026-04-29-oasis-cosai-agentic-iam.html): OASIS CoSAI (Coalition for Secure AI) - Agentic Identity and Access Management, Workstream 4: Secure Design Patterns for Agentic Systems, version 1.0, 20 marca 2026 (18 stron, licencja OASIS Open Project rules - PDF hostowany lokalnie z atrybucją); zatwierdzony przez Technical Steering Committee CoSAI; co-chairs Akila Srinivasan (Anthropic) i J.R. Rao (IBM); Workstream Leads Sarah Novotny / Ian Molloy (IBM) / Raghu Yeluri (Intel) / Alex Polyakov (Adversa AI); zakres CoSAI eksplicytnie wyklucza ethics, fairness, explainability, bias, safety, content safety - to czysta warstwa secure deployment, nie governance jako całość; OSIEM IMPERATYWÓW AGENTIC IDENTITY: (1) agent jako first-class identity z agent card i runtime instance identity, (2) Zero Standing Privilege (ZSP) - krótkie tokeny zamiast długożywotnych szerokich uprawnień, (3) separacja praw agenta i on-behalf-of (OBO) z widoczną delegation chain, (4) bind do kodu i modelu - signed manifest plus runtime attestation, (5) enforce na każdym hopie i last-mile (anty confused-deputy), (6) prove control on demand - immutable logs i lineage, (7) reuse istniejącego IAM (OAuth/OIDC/PKI) jako control plane, (8) gateways jako policy boundaries (MCP endpoints, API gateways, service mesh) plus dziewiąty alignment z zero-trust i regulacjami; SIEDEM THREAT THEMES: over-permissioning, loss of actor clarity, shadow agents, broken delegation chains, unsigned/swapped models, indirect prompt injection, agent collusion; CAPABILITY-IMPACT MATRIX (low cap/low risk - high cap/high risk) plus drabina autonomii L0-L5 (no autonomy - assisted - guided - semi-autonomous - highly autonomous - fully autonomous), L3+ to "high capability"; END-TO-END PRZYKŁAD invoice-processing agent z agent card / runtime identity / per-MCP-server credentials / OBO token / ABAC-PBAC enforcement / immutable logs / anomaly detection / revocation cascade; FAZOWA ADOPCJA 1-2-3 (Visibility - Contextual access - Full Agentic IAM); appendices A-G (autonomy levels, identity i attestation TEE-backed Intel TDX/AMD SEV-SNP/ARM TrustZone, lifecycle workflows, struktury tokenów RFC 8693/9396/7009, governance i logging OCSF/CEF z correlation_id, gateway patterns, glosariusz); MAPPING NA POLSKIE INSTRUMENTY PRAWNE: art. 5 ust. 1 lit. c RODO (minimalizacja - imperatyw #2), art. 5 ust. 2 RODO (rozliczalność - imperatywy #1, #6), art. 25 RODO (privacy by design - #2), art. 30 RODO (rejestr czynności - #6), art. 32 RODO (środki bezpieczeństwa - #4, #5), art. 5 lit. f RODO (integralność i poufność - #4 signed manifest), art. 9 AI Act (risk management), art. 12 AI Act (record-keeping), art. 14 AI Act (human oversight - high-impact actions), art. 26 AI Act (deployer obligations), art. 293 KSH (staranność zarządu w razie incydentu z agentem), tajemnica zawodowa adwokacka i radcowska (art. 6 PoA, art. 3 ustawy o radcach prawnych - OBO token jako dowód delegacji); OSIEM PYTAŃ AUDYTOWYCH DO DOSTAWCY LegalTech (każda instancja własne identity, short-lived credentials, actor/subject claims OBO, signed manifest z attestation, last-mile enforcement, immutable logs z correlation_id, użycie standardów OAuth/SPIFFE/RFC 8693/9396, MCP endpoints terminujące tokeny); cztery brakujące warstwy z perspektywy polskiej kancelarii: brak warstwy AI Act i RODO (dokument dystansuje się od broader governance), brak warstwy tajemnicy zawodowej, brak warstwy odpowiedzialności cywilnej za szkody, brak warstwy małej kancelarii (rola delegacyjna do dostawcy); use case'y: compliance officer kancelarii budujący politykę AI (BW/043 jako brakująca warstwa techniczna pięciowarstwowego stack'u), adwokat doradzający dostawcy LegalTech (osiem imperatywów jako baseline), adwokat doradzający kancelarii kupującej LegalTech (osiem pytań audytowych), IOD kancelarii (mapping na art. 5/25/30/32 RODO), partner zarządzający (tylko Sekcje 1 i 5); razem z BW/039 RAII Policy Template (struktura polityki) i BW/040 King Vendor Assessment (audyt dostawców) i BW/041 RAND Forecasting (monitoring trajektorii) i BW/042 AICDI Responsible AI (benchmark globalny) MateMatic ma teraz pięciowarstwowy stack governance AI - BW/043 jest warstwą techniczną mówiącą tym samym językiem co warstwa prawna; direct complement do BW/012 OWASP AIVSS Agentic AI (threat-model + control-framework para) oraz BW/030 ENISA Security-by-Design (technical baseline europejski) i BW/032 Secure AI Sandboxes (testowanie przed Fazą 1) - [Trzynaście procent firm ma framework AI governance. Thomson Reuters i UNESCO mierzą rozjazd między deklaracją a praktyką.](https://matematicsolutions.com/baza-wiedzy/2026-04-28-aicdi-responsible-ai-in-practice.html): Thomson Reuters Foundation + UNESCO - Responsible AI in Practice: 2025 global insights from the AI Company Data Initiative (AICDI), marzec 2026 (94 strony, ISBN 978-92-3-100863-4, DOI 10.54678/YJWP8855, licencja CC-BY-SA 3.0 IGO - PDF hostowany lokalnie z atrybucją); pierwszy raport AICDI - "world's largest study assessing corporate AI adoption globally"; pilot year 2 972 spółek z 18 krajów (Brazylia, Indie, Niemcy, Hiszpania, USA, UK, Włochy i in.), 100 000 punktów danych, 36 pytań ankietowych zbudowanych na fundamencie UNESCO Recommendation on the Ethics of AI; SZEŚĆ KLUCZOWYCH STATYSTYK: 13% spółek deklaruje formalny framework AI governance (z czego 53% wskazuje EU AI Act jako reference), 43,7% publicznie komunikuje strategię AI, 72% NIE prowadzi żadnego impact assessment, 7% prowadzi Human Rights Impact Assessment (z 28% prowadzących assessment), 12% oferuje structured AI training z comprehensive coverage (z 31% oferujących training); PIĘĆ THEMATIC FINDINGS: (1) public commitment to AI governance frameworks remains low, (2) companies publish strategies but unclear how put into practice (governance opisane konceptualnie nie operacyjnie), (3) inadequate worker protections as AI reshapes jobs, (4) ethical issues sidelined in governance and risk management, (5) limited policies on AI training data, third-party data controls, user data rights; OSIEM CASE STUDIES: TELUS (diversity i inclusion), Vodafone (data systems cybersecurity), SAP (workforce impact), Telefónica (governance strategic institutional), BASF/Banco Bradesco/Infosys/Prudential/Telefónica/TELUS (AI skills training), Gruppo TIM/BASF/TELUS/Telefónica (environmental considerations), Banco Bradesco/SAP (review of governance mechanisms), Cementos Argos/BASF (workers rights); INVESTOR ENGAGEMENT CHECKLIST z 30+ pytaniami w 5 kategoriach (Governance and frameworks, Implementation and controls, Workforce and impact, Ethics environment human rights, Data and third-party providers), każde pytanie z polem "what it tells investor"; RESPONSIBLE AI PRINCIPLES FOR PROXY VOTING jako materiał obronny dla głosowania funduszu/TFI/OFE na WZA; cztery brakujące warstwy dla polskiej kancelarii: brak polskich spółek w datasecie 2972, brak warstwy art. 293 KSH staranność zarządu, brak warstwy zawodowej kancelarii, brak adaptacji dla małych firm; use case'y: kancelaria + klient korporacyjny przed rundą ESG (Investor Engagement Checklist jako self-audit), kancelaria + fundusz/TFI/OFE (Responsible AI Principles for Proxy Voting jako materiał obronny WZA), compliance officer kancelarii (Findings + case studies jako benchmark); razem z BW/039 RAII Policy Template, BW/040 King Vendor Assessment, BW/041 RAND Forecasting i BW/036 Kuśmierek MateMatic ma teraz pięciowarstwowy stack governance AI - AICDI jest warstwą empirycznego benchmarku zakorzenia w globalnych danych - [RAND o prognozach AGI: nie zgadujemy daty, scenariuszami planujemy. Co kancelaria mówi klientowi pytającemu o pięć lat.](https://matematicsolutions.com/baza-wiedzy/2026-04-28-rand-agi-forecasting.html): Sarma, Bhatt, Jacob, Steratore (RAND Corporation) - Artificial General Intelligence Forecasting and Scenario Analysis: State of the Field, Methodological Gaps, and Strategic Implications, RR-A4692-1, marzec 2026 (75 stron, licencja RAND Limited Distribution Rights - PDF nie hostujemy, link na rand.org); RAND Corporation niezależna nonpartisan organizacja non-profit założona 1948, raport z Center on AI, Security, and Technology w dziale Global and Emerging Risks; drafting przez modele LLM (GPT 5.1, Gemini 3 Pro, Claude 4.5 Opus) z human peer review, fact-checking i revision; synteza czterech metodologii prognozowania AGI (expert surveys, prediction markets, compute-centric models, scenario analysis); kluczowe dane: Grace et al. 2025 mediana HLMI 2047 (kompresja 13 lat względem 2022), compute-centric models i prediction markets stawiają lata 2030-te, full automation of labor 2116 (różnica 69 lat między HLMI a FAOL pokazuje wagę definicji); osiem rozdziałów: Introduction, Defining the Target, Forecasting Methodologies, Understanding Disagreement (cruxes - cztery archetypy ekspertów: compute optimist/paradigm pessimist/deployment skeptic/capability hawk), Validation Challenge, Strategic Implications (Decisionmaking Under Uncertainty), Building Better Forecasting Infrastructure, Conclusion; cztery najmocniejsze warstwy dla polskiej kancelarii: (1) Asymmetry of Costs - jeśli koszt nieprzygotowania na X dużo wyższy niż koszt przygotowania, niska prawdopodobieństwo X uzasadnia plan; (2) "Treat forecasts as scenario-structuring tools, not point estimates to optimize around" - skrypt rozmowy adwokata z klientem o niepewności technologicznej w trybie analitycznym; (3) Capability Trajectory Indicators (Tabela 6.1) - wzorcowy scoreboard kwartalny/półroczny do monitorowania kontekstu, kancelaria oferuje monitoring strategiczny AI jako uzupełnienie BW/039 i BW/040; (4) cruxes i archetypy ekspertów jako materiał obronny w razie zarzutów akcjonariuszy o starannosc decyzji zarządu (art. 293 KSH); cztery brakujące warstwy do dopisania przez polską kancelarię: warstwa europejska (AI Act i timeline 2026-2027), warstwa odpowiedzialności prawnej zarządów spółek (art. 293 KSH, dokumentacja decyzji), warstwa zawodowa branż regulowanych (UODO/KNF/UKE), warstwa budżetowa średniej polskiej spółki; use case'y: kancelaria + klient korporacyjny strategia AI 5-10 lat (framework asymmetry + scenario-structuring + scoreboard), kancelaria pisząca artykuł o niepewności AI (cytat scenario-structuring tools jako rdzeń argumentacji), adwokat reprezentujący zarząd w sprawie staranności decyzji AI (cruxes i archetypy jako materiał obronny art. 293 KSH), klient na własną rękę bez kancelarii (Executive Summary + rozdz. 6 = 20 stron które klient czyta sam); razem z BW/039 RAII Policy Template (struktura wewnętrzna), BW/040 King Vendor Assessment (audyt dostawców) i BW/036 Kuśmierek (polska perspektywa AGI) MateMatic ma czterowarstwowy stack governance AI - wewnętrzna polityka, zewnętrzny audyt dostawców, polski kontekst, monitoring trajektorii - [Trzydzieści trzy pytania, dwanaście domen, trzy poziomy. Praktyczny audyt dostawcy AI w rozmowie, nie w ankiecie.](https://matematicsolutions.com/baza-wiedzy/2026-04-28-king-ai-vendor-assessment-guide.html): Dennis Ah King - AI Vendor Assessment Guide V2.0, kwiecień 2026 (61 stron, licencja CC-BY-NC-SA 4.0, PDF hostowany lokalnie z atrybucją); część projektu AI Governance Blueprint; mapowanie na ISO 42001 + NIST AI RMF + EU AI Act; struktura: 33 pytania w 12 domenach × 3 tiery (Tier 1 Basic 12 pytań - minimum baseline, Tier 2 Intermediate 22 pytania, Tier 3 Comprehensive 33 pytania); 5 pytań screeningowych VQ1-VQ5 (Decision Impact, Regulatory Scope, External Visibility, Board-Level Exposure, Agentic Capability) ustalające tier audytu; każde pytanie ma 4 pola opisu (Why It Matters, Look For, Watch Out For, Red Flags); system scoringu ✓ Satisfactory / ⌑ Follow Up / ✗ Concern; 12 domen: AI Governance & Oversight, Regulatory Compliance & AI Act, AI Agent Use Case Scope & Boundaries, Model Performance & Evaluation, Bias Fairness & Ethical AI, Data Management Practices, Security Robustness & Resilience, Privacy Compliance & Legal, Model Cards & Technical Documentation, Incident Response & Continuous Monitoring, Commercials SLAs & Change Management, Legal Liability & Insurance; główna teza: vendor assessment to ROZMOWA 60-90 minut z konkretnym scenariuszem pytań tier'owych i scoringu live - nie ankieta papierowa którą dostawca wypełnia w 2 tygodnie z legal team'em; cztery brakujące warstwy dla polskiej kancelarii do dopisania: RODO operacyjne (rola dostawcy art. 4, umowa powierzenia art. 28, transgraniczne przekazania rozdz. V, retencja, prawa osób, DPIA), AI Act po sierpniu 2026 (Provider/Deployer/Importer art. 16-26, klasyfikacja Załącznik III, dokumentacja techniczna Załącznik IV, CE marking, rejestracja, FRIA, AI literacy), tajemnica zawodowa kancelarii (art. 6 PoA, art. 3 ustawy o radcach - pytania o logowanie promptu, dostęp personelu dostawcy do logów, dane treningowe modeli, klauzula tajemnicy w umowie), polskie realia rynkowe (kompetencje rozmówcy po polsku, polski DPO, przepływ danych przez Polskę, regulacje sektorowe UODO/KNF/UKE); use case'y: kancelaria + klient korporacyjny - bierze framework jako szkielet rozmowy + 30-50% objętości pod polski kontekst, kancelaria sama negocjująca z dostawcą LegalTech - 5 pytań screeningowych jako pierwszy filtr + Tier 1/2 audytu + scoring jako wewnętrzny dokument decyzyjny zarządu kancelarii, klient korporacyjny bez kancelarii - jeden z nielicznych frameworków który MA SENS dawać klientowi do samodzielnego użycia (zwłaszcza Tier 1, łapie 70% red flags w pierwszym spotkaniu); razem z BW/039 RAII Policy Template (rozdz. XI Procurement) i BW/034-035 (Kumaran/Laban pytania architektoniczne) i BW/037 (MIT AIRI Navigator pytanie #5 mapowania na taksonomię) MateMatic dysponuje kompletnym stosem narzędzi audytu LegalTech - [Wzorzec polityki AI w czterdziestu sześciu stronach. Co polska kancelaria bierze, a co musi dopisać sama.](https://matematicsolutions.com/baza-wiedzy/2026-04-28-rai-institute-ai-policy-template.html): Responsible AI Institute - AI Policy Template, czerwiec 2024 (46 stron, 14 rozdziałów + aneks, licencja All Rights Reserved - PDF nie hostujemy, link do RAII); fundament w ISO/IEC 42001 i NIST AI RMF; cztery najmocniejsze warstwy template'u: IV Governance (Steering + Operational Committee), VI Risk Management (AI Impact Assessment z severity score), XI AI Procurement (Responsible Supplier Assessment + Low-Touch AIIA + klauzule kontraktowe), XII Documentation (AI system inventory + IIR database); cztery brakujące warstwy, które polska kancelaria musi dopisać: RODO (osobny rozdział), AI Act (klasyfikacja systemów + obowiązki Provider/Deployer + FRIA + timeline), tajemnica zawodowa (art. 6 PoA, art. 3 ustawy o radcach, KEA, KERP), wytyczne sektorowe (UODO/KNF/UKE); rekomendacje: kancelaria klient korporacyjny - bierze szkielet i dopisuje 30-50% objętości pod polski kontekst; kancelaria 200-osobowa - template wprost; kancelaria 10-osobowa - kompresuje do rozdziałów IV/VI/XI/XII plus własny pierwszy "Tajemnica zawodowa i AI"; klient bez kancelarii - odradzam (ukryte fail-points w odsyłaczach do ISO 42001) - [Smuha i KU Leuven mapują europejską etykę AI w jednym tomie. Polska kancelaria czyta selektywnie.](https://matematicsolutions.com/baza-wiedzy/2026-04-28-smuha-cambridge-handbook-ai.html): Nathalie A. Smuha (red.) - The Cambridge Handbook of the Law, Ethics and Policy of Artificial Intelligence (Cambridge University Press, ok. 600 stron, licencja CC-BY Open Access); najpełniejsze europejskie akademickie kompendium prawa i etyki AI w 2026; selekcja MateMatic 7 rozdziałów priorytetowych dla polskiej kancelarii: Smuha+Yeung krytyka AI Act (rozdz. 12), Dewitte GDPR (rozdz. 7), De Bruyne tort liability (rozdz. 8), Vanherpe IP law (rozdz. 11), Naudts fairness (rozdz. 4), Lauwaert responsibility gap (rozdz. 5), Bostoen competition law (rozdz. 9); komplementarny do BW/005 Levy (amerykański etyczny playbook) i BW/029 CoE CDDH (prawa człowieka) - [MIT centralizuje cztery bazy ryzyk AI w jedno narzędzie. Co compliance kancelarii może z tego wyciągnąć.](https://matematicsolutions.com/baza-wiedzy/2026-04-28-michaels-airi-navigator.html): Spencer Michaels, Alexander Saeri, Peter Slattery (MIT AI Risk Initiative) - Introducing the AI Risk Navigator (2026, CC BY 4.0); narzędzie airi-navigator.com centralizuje cztery datasety AIRI (AI Risk Repository, AI Incident Database, governance documents, mitigation actions) pod wspólną Risk Domain Taxonomy; dla compliance officera kancelarii operacyjna baza pierwszej linii do audytu ryzyk AI i due diligence dostawcy LegalTech; pytanie audytowe #5 do checklisty MateMatic - czy aplikacja LegalTech mapuje funkcje na Risk Domain Taxonomy MIT AIRI lub inną ustabilizowaną taksonomię - [Polska wobec AGI: 95 stron strategii. Co kancelaria z tego bierze, a co zostawia ekonomistom państwa.](https://matematicsolutions.com/baza-wiedzy/2026-04-28-kusmierek-polska-wobec-agi.html): Maksymilian Kuśmierek (AGIPoland) - Polska w obliczu AGI: Raport strategiczny, marzec 2026 (95 stron); pierwszy obszerny polski raport autorski o AGI w 2026; pięć filarów transformacji 2026-2040 (infrastruktura, reforma fiskalna LVT, ludzie/kompetencje, własność/instytucje, kontrakt społeczny); recenzja MateMatic z filtrem vendor-agnostic oddzielającym twardą diagnozę polskiego rynku AI (cenna - GUS, PIE, ABSL) od autorskich postulatów ekonomii politycznej (LVT, UBI, spółdzielnie AI - poza domeną MateMatic); sekcja 16.4.2 Lex AI Copyright jako materiał obowiązkowy dla adwokata IP - [Po dwudziestu poprawkach LLM-em twój dokument to nie jest już twój dokument. Microsoft mierzy 25-50%.](https://matematicsolutions.com/baza-wiedzy/2026-04-28-laban-llms-corrupt-documents.html): Laban, Schnabel, Neville (Microsoft Research) - LLMs Corrupt Your Documents When You Delegate (arXiv preprint, kwiecień 2026); DELEGATE-52 - benchmark 19 modeli × 52 domeny × 20 round-trip edits; średnia degradacja 50% zawartości, modele frontierowe (Gemini 3.1 Pro, Claude 4.6 Opus, GPT 5.4) tracą 25%; najlepszy model ready w 11 z 52 domen; tools w agentic harness pogarszają wyniki o 6 punktów; Verification Stack v3 - propozycja MateMatic 3 reguł czasowych + 2 architektonicznych dla iteracyjnej pracy kancelarii nad umową/pismem procesowym/opinią - [Dwa błędy w pewności LLM. DeepMind diagnozuje, dlaczego model raz się upiera, raz kapituluje.](https://matematicsolutions.com/baza-wiedzy/2026-04-28-kumaran-llm-confidence-biases.html): Kumaran, Fleming, De Martino, Veličković i in. - Competing Biases underlie Overconfidence and Underconfidence in LLMs (Nature Machine Intelligence, kwiecień 2026, s. 614-627); choice-supportive bias + hypersensitivity to contradiction w sześciu modelach (12B-675B); skala nie pomaga; Verification Stack v2 - propozycja MateMatic 5 reguł architektonicznych dla weryfikacji wyników AI w kancelarii i audytu dostawców LegalTech - [Policja używa AI bez ujawnienia. UNICRI dostarcza adwokatowi trzy warstwy argumentacji.](https://matematicsolutions.com/baza-wiedzy/2026-04-27-unicri-decoding-transparency-law-enforcement.html): UNICRI - Decoding Transparency, kwiecień 2026; 96 stron, część projektu AI4Citizens; trzy warstwy argumentacji procesowej dla polskiej kancelarii reprezentującej stronę w sprawie z AI po stronie organów ścigania - [Twoja kancelaria już ma shadow AI. Sandbox to sposób, żeby tajemnica zawodowa to przeżyła.](https://matematicsolutions.com/baza-wiedzy/2026-04-27-secure-ai-sandboxes-safe-to-experiment.html): Safe to Experiment - Thought Leadership publication, kwiecień 2026; pięcioetapowy roadmap sandboxa AI w kancelarii (isolation/synthetic data/access/instrumentation/governance) z mapowaniem do RODO i AI Act - [Trzynaście rozdziałów Levy. Polski adwokat czyta dziewięć z nich bez Westlawa.](https://matematicsolutions.com/baza-wiedzy/2026-04-27-levy-ai-litigation-practice.html): Colin S. Levy - AI in Litigation Practice, 2026; trzynaście rozdziałów dla amerykańskich litygantów; polski adwokat czyta z filtrem KPC, KPK, Kodeksu Etyki Adwokackiej - [ENISA pisze do producentów. Kancelaria czyta to w trzech rolach naraz.](https://matematicsolutions.com/baza-wiedzy/2026-04-27-enisa-security-by-design-default.html): ENISA - Security by Design and Default Playbook, marzec 2026; 22 praktyki + 16 zasad mapowanych do Cyber Resilience Act (CRA); trzy role kancelarii (klient, vendor LegalTech, doradca) - [AI w sądzie nie jest neutralna. Handbook CDDH liczy artykuły ECHR, które to rozbija.](https://matematicsolutions.com/baza-wiedzy/2026-04-27-coe-cddh-handbook-human-rights-ai.html): Council of Europe (CDDH) - Handbook on Human Rights and Artificial Intelligence, kwiecień 2026; sektor 4.1 Administration of Justice mapowany do art. 6 EKPC - [Partner konsultuje AI. AI się myli. Partner jest pewniejszy.](https://matematicsolutions.com/baza-wiedzy/2026-04-22-shaw-nave-cognitive-surrender.html): Shaw, Nave - poznawcze poddanie się decyzjom AI - [Siedem modeli zagrożeń. Bengio i Russell patrzą poza alignment.](https://matematicsolutions.com/baza-wiedzy/2026-04-22-piedrahita-ai-risks-democratic-systems.html): Piedrahita, Bengio, Russell, Schölkopf i in. - ryzyka AI dla systemów demokratycznych - [Cztery iluzje, jedna kancelaria. Mitchell o tym, dlaczego AI jest trudniejsza, niż myślimy.](https://matematicsolutions.com/baza-wiedzy/2026-04-22-mitchell-why-ai-is-harder.html): Melanie Mitchell - [Governance AI ma ulubione ryzyka. MIT liczy, o których milczy.](https://matematicsolutions.com/baza-wiedzy/2026-04-22-mit-mapping-ai-governance.html): MIT - mapping AI governance - [Mapa aktywności, mapa ryzyka. MIT mierzy, gdzie naprawdę siedzi AI.](https://matematicsolutions.com/baza-wiedzy/2026-04-22-mit-malone-where-can-ai-be-used.html): Malone i in. (MIT) - gdzie AI może być użyte - [Dziesięć słabości deep learningu. Marcus w 2018, kancelaria w 2026.](https://matematicsolutions.com/baza-wiedzy/2026-04-22-marcus-deep-learning-critical-appraisal.html): Gary Marcus - [Agent to nie paralegal. Levy wraca z toolkitem.](https://matematicsolutions.com/baza-wiedzy/2026-04-22-levy-ai-agents-for-lawyers.html): Colin S. Levy - AI agents for lawyers toolkit - [Słownik amerykański, rzeczywistość europejska.](https://matematicsolutions.com/baza-wiedzy/2026-04-22-iapp-cybersecurity-law-key-terms.html): IAPP - key terms cybersecurity law - [Pięćset miliardów dolarów. GovAI liczy cybercrime, żeby policzyć AI.](https://matematicsolutions.com/baza-wiedzy/2026-04-22-govai-global-cybercrime-damages.html): Lukosiute, Halstead, Righetti (GovAI) - [Oferty pracy zdradzają strategię. Magic Circle i AI widziane przez 4447 ogłoszeń.](https://matematicsolutions.com/baza-wiedzy/2026-04-22-futurice-ai-hiring-intelligence-legal.html): Matthew Edwards (Futurice) - [Europa ma kapitał. Europa nie ma pośpiechu. European AI Report 2026.](https://matematicsolutions.com/baza-wiedzy/2026-04-22-european-ai-report-2026.html): Dealroom.co, Bloisi - [Umiejętność to nie inteligencja. Chollet dla kancelarii, która kupuje agenta.](https://matematicsolutions.com/baza-wiedzy/2026-04-22-chollet-measure-of-intelligence.html): François Chollet - [Praktyczna obskurność umarła. Carlini, Tramèr i koniec taniej pseudonimizacji.](https://matematicsolutions.com/baza-wiedzy/2026-04-22-carlini-tramer-llm-deanonymization.html): Lermen, Paleka, Swanson, Aerni, Carlini, Tramèr - [Warstwa procesu, warstwa osądu. Bifurkacja BigLaw i polska kancelaria.](https://matematicsolutions.com/baza-wiedzy/2026-04-22-bifurcation-of-biglaw.html): bifurkacja BigLaw - warstwa procesu vs. warstwa osądu - [Pięć lat po Stochastic Parrots. Papuga siedzi już w kancelarii.](https://matematicsolutions.com/baza-wiedzy/2026-04-22-bender-gebru-stochastic-parrots.html): Bender, Gebru, McMillan-Major, Shmitchell - [FAQ Komisji, który mówi mniej, niż powinien.](https://matematicsolutions.com/baza-wiedzy/2026-04-22-ai-act-service-desk-faq.html): European Commission - AI Act Service Desk FAQ - [Dziesięć pytań, cztery minuty, jedna skala. Psychometria dla halucynacji.](https://matematicsolutions.com/baza-wiedzy/2026-shs-muller-holzinger.html): Müller, Steiger, Plass, Holzinger - skala halucynacji - [Lepsze myślenie, gorsze narzędzia. Paradoks reasoning-owych modeli.](https://matematicsolutions.com/baza-wiedzy/2026-reasoning-trap-yin.html): Yin, Sha, Cui, Meng, Li - reasoning trap - [NIST mówi: monitorować musicie. I dodaje: nie do końca potrafimy.](https://matematicsolutions.com/baza-wiedzy/2026-nist-ai-800-4-monitoring.html): NIST AI 800-4 - monitorowanie systemów AI - [Playbook, którego w Europie brakuje. MindForge jako wzorzec operacyjny.](https://matematicsolutions.com/baza-wiedzy/2026-mindforge-ai-risk-management.html): MindForge Consortium - [Cztery reżimy, jeden agent. O czym nie pisze polski compliance.](https://matematicsolutions.com/baza-wiedzy/2026-governing-agents-kenney.html): Noah M. Kenney - GDPR, EU AI Act, NIST AI RMF, ISO/IEC 42001 dla agentów AI - [Model konformistyczny, model dogmatyczny. Dwa fenotypy jednego asystenta.](https://matematicsolutions.com/baza-wiedzy/2026-clinician-input-lopez-horvitz.html): Lopez, Everett, Chen, Chaudhari, Horvitz - [Jeden atlas, siedemdziesiąt cztery mapy. MIT porządkuje chaos ryzyka AI.](https://matematicsolutions.com/baza-wiedzy/2026-ai-risk-repository-mit.html): MIT AI Risk Repository - [Reset relacji. CLO Intela wyznacza granicę.](https://matematicsolutions.com/baza-wiedzy/2026-ai-make-or-break-boise.html): April Miller Boise (CLO Intel) - [Deepfake o dziewiątej rano. Brytyjska instrukcja, polskie pytanie.](https://matematicsolutions.com/baza-wiedzy/2026-ai-information-threats-crisis-response.html): McDonald, Stockwell - [Model Rules bez RODO. Amerykański etyczny playbook w polskim biurze.](https://matematicsolutions.com/baza-wiedzy/2026-ai-ethics-for-lawyers-levy.html): Colin S. Levy - AI ethics for lawyers - [Przewodnik pisany przed obowiązywaniem. Rok później.](https://matematicsolutions.com/baza-wiedzy/2026-ai-act-guide-bird-and-bird.html): Bird & Bird LLP - EU AI Act guide - [Dziesięć sposobów, żeby agent zrobił coś, czego nie miał robić.](https://matematicsolutions.com/baza-wiedzy/2025-owasp-aivss-agentic-ai.html): Huang, Bargury, Narajala, Gupta, Marple - OWASP AIVSS v0.8 ## Optional - [llms-full.txt (rozszerzona wersja z abstractami)](https://matematicsolutions.com/llms-full.txt) - [Polityka prywatności](https://matematicsolutions.com/polityka-prywatnosci.html) - [Sitemap XML](https://matematicsolutions.com/sitemap.xml) - [Robots.txt](https://matematicsolutions.com/robots.txt)