Czy algorytmy w Twojej grze podlegają AI Act? Większość studiów gamedev zakłada, że nie. Większość się myli.
W 2018 roku Belgijska Komisja ds. Gier uznała loot boxy za hazard i zakazała ich sprzedaży za prawdziwe pieniądze. Nie dlatego, że były nielegalne w rozumieniu prawa hazardowego (prawnicy długo się o to spierali), ale dlatego, że mechanizm, który każe płacić za losową szansę na wygraną, skierowany do dzieci, to w praktyce automat do gier. Największe studia, m.in. Blizzard i EA, musiały wycofać płatne skrzynki z belgijskiego rynku. Egzekwowanie zakazu okazało się jednak trudne i loot boxy w Belgii funkcjonują do dziś, ale precedens był jasny – regulator powiedział, że model biznesowy branży gier może być hazardem i miał rację. Mimo surowych przepisów, badania z lat 2021-2022 sugerowały, że ban nie był w pełni egzekwowany na wszystkich grach mobilnych, jednak główne studia (EA, Blizzard, Nintendo) dostosowały się do wymogów, aby uniknąć wysokich kar finansowych lub nawet odpowiedzialności karnej.
Za kilka miesięcy podobna dyskusja o granicach prawa odbędzie się w całej Unii Europejskiej, ale tym razem nie chodzi o hazard tylko o AI Act. System dobierający przeciwnika pod profil gracza, sklep pokazujący ofertę w idealnym momencie, mechanizm kalibrujący trudność, żeby gracz nie zrezygnował – wszystko to co wymienione – jeśli analizuje dane użytkownika i na tej podstawie podejmuje decyzje – jest AI w rozumieniu AI Act oraz wpada w reżim tego aktu.
Kiedy algorytm w grze przestaje być mechaniką a staje się systemem AI w rozumieniu prawa
AI Act definiuje system AI przez to co robi, nie przez to jak się nazywa. Jeśli system analizuje dane o użytkowniku i na tej podstawie generuje predykcje, rekomendacje lub decyzje, które wpływają na jego zachowanie, mamy system AI w rozumieniu prawa – niezależnie od tego czy studio nazwało to algorytmem czy silnikiem rekomendacji, czy w jakikolwiek inny sposób. Granica nie przebiega tam, gdzie branża zwykła ją rysować i to właśnie jest źródłem problemu, którego większość studiów jeszcze nie dostrzega.
Algorytmy doboru graczy przez lata ewoluowały od prostego porównywania statystyk, do modeli które analizują dane behawioralne, poziom frustracji gracza, historię jego wydatków i podatność na utratę poczucia kontroli. Dopóki służyły jakości rozgrywki nikt nie miał z takimi mechanizmami problemu. Pojawia się on, kiedy te same dane zaczyna się wykorzystywać, żeby wpłynąć na decyzje zakupowe, bo wtedy wchodzimy w obszar, który jest przez AI Act wprost zakazany. Systemy zaprojektowane po to, żeby zmienić zachowanie użytkownika bez jego wiedzy w sposób, który może mu wyrządzić szkodę są od lutego 2025 roku zakazane, a granica między personalizacją a manipulacją rzadko jest oczywista i właśnie o jej ustalenie będą się toczyć pierwsze poważne spory między regulatorem a branżą.
Dynamiczne ustalanie cen działa w grach od lat i rzadko jest traktowane jako problem prawny, tymczasem gracz powinien wiedzieć, że oferta którą widzi nie jest taka sama jak ta którą widzi ktoś inny i że algorytm podjął tę decyzję na podstawie jego danych. W chwili wyboru przez gracza, nikt mu tego nie wskazuje / nikt nie informuje go o tym.
Jak pokazują badania opublikowane przez BeGambleAware, zaledwie 5% graczy generuje połowę rynkowych przychodów z loot boxów, co sugeruje, że systemy te działają na behawioralne uprzedzenia konkretnej grupy użytkowników, a nie na świadome decyzje zakupowe ogółu graczy. Jeśli algorytm dostosowuje prawdopodobieństwo wylosowania przedmiotów pod profil gracza i jego historię wydatków, studio musi być w stanie udowodnić, że system nie stosuje technik manipulacyjnych.
Gry dla dzieci – osobna kategoria ryzyka której nie wolno ignorować
To najtrudniejszy obszar i ten, w którym konsekwencje mogą być najpoważniejsze. Gry kierowane do dzieci lub takie, w które dzieci masowo grają, używające algorytmów optymalizujących zaangażowanie i retencję mogą wymagać oceny ryzyka dla praw podstawowych zanim trafią na rynek unijny, ponieważ AI Act traktuje systemy mogące wpływać na osoby małoletnie szczególnie surowo. Algorytm, który analizuje zachowania dziecka po to, żeby wydłużyć sesję gry i zwiększyć prawdopodobieństwo dokonania zakupu, to system, który może wpływać na prawa podstawowe osoby małoletniej. Sytuację komplikuje to, że RODO i DSA nakładają równolegle własne obowiązki wobec użytkowników poniżej osiemnastego roku życia, przez co studio tworzące grę dla dzieci z zaawansowanym systemem retencji może znaleźć się pod radarem trzech różnych reżimów regulacyjnych jednocześnie i żaden z nich nie będzie chciał słuchać, że to był tylko niewinny element gry.
Co twórcy gier muszą dokumentować i zgłaszać?
Dla systemów AI niskiego ryzyka wymogi są skromne, ale istnieją, ponieważ gracz który wchodzi w interakcję z systemem generatywnej AI musi o tym wiedzieć, a sklep napędzany przez algorytm rekomendacji powinien działać w sposób dla użytkownika zrozumiały. Natomiast dla systemów zakwalifikowanych jako wysokiego ryzyka zakres obowiązków jest znacznie szerszy, gdyż obejmuje on wdrożenie systemu zarządzania ryzykiem przez cały cykl życia produktu, prowadzenie dokumentacji technicznej, zapewnianie automatycznego logowania zdarzeń i nadzór ludzki nad ważnymi decyzjami systemu oraz zarejestrowanie go w unijnej bazie danych przed wdrożeniem. To wszystko wymaga planowania na poziomie całego procesu tworzenia gry.
Jest jeszcze jedna kwestia, którą branża regularnie pomija. Studio, które korzysta z gotowych narzędzi AI od zewnętrznego dostawcy i wdraża je pod własną marką lub dostosowuje do własnych celów może zostać uznane za dostawcę systemu AI a nie tylko jego użytkownika, przez co ponosi pełny zakres obowiązków dostawcy włącznie z oceną zgodności i rejestracją. Studio, które bierze gotowe narzędzie AI i konfiguruje je pod własny sklep nie może zakładać, że odpowiedzialność za zgodność z przepisami leży po stronie dostawcy, ponieważ w świetle AI Act tak nie jest.
Jak przygotować studio gamedev do wymogów AI Act zanim przepisy zaczną obowiązywać?
Punkt wyjścia to ustalenie co w grze w ogóle analizuje dane gracza i coś z nimi robi, bo to właśnie od tej listy zaczyna się klasyfikacja ryzyka. Dla każdego takiego elementu warto sprawdzić czy może wpływać na decyzje finansowe gracza, czy jest skierowany do dzieci, czy analizuje dane behawioralne lub emocjonalne i czy może działać w sposób, którego gracz nie jest świadomy. Im więcej odpowiedzi twierdzących, tym wyżej w hierarchii ryzyka i tym szerszy zakres obowiązków.
Do tego dochodzi przegląd umów z zewnętrznymi dostawcami narzędzi AI, gdyż te podpisane przed 2025 rokiem prawie na pewno nie regulują podziału odpowiedzialności na wypadek pytania ze strony regulatora. To błąd, który łatwo naprawić teraz a trudno tłumaczyć później. Branża gamedev przez lata miała dużo miejsca na innowację zanim regulacja nadążała za technologią. W przypadku AI Act to okno jest zamknięte, przepisy obowiązują a kary sięgają 7% globalnego rocznego obrotu. Studio, które przeprowadzi analizę teraz ma czas na spokojne dostosowanie. To które zaczeka odkryje zakres problemu wtedy, gdy będzie już musiało działać szybko.
