AI Act — нова регулаторна реалност
Европейският съюз създаде първата в света всеобхватна регулация за изкуствения интелект. Регламентът AI Act (Regulation (EU) 2024/1689) влезе в сила на 1 август 2024 г. и се прилага поетапно: първите задължения важат от 2 февруари 2025 г., основната част — от 2 август 2026 г., а пълното прилагане — от 2 август 2027 г. Всяко предприятие, което внедрява системи с AI в оперативната си дейност в ЕС, трябва да е запознато с тях.
AI Act не забранява изкуствения интелект — той го регулира въз основа на подход, основан на риска. Колкото по-висок е рискът, толкова по-строги са изискванията. Повечето бизнес приложения на AI попадат в категориите нисък или ограничен риск, което означава относително леки задължения. Има обаче области, в които изискванията са много строги.
Срокове на влизане в сила (Art. 113)
- 1 август 2024 г. — влизане в сила на регламента
- 2 февруари 2025 г. — прилагат се забраните за опасни практики (Глава II, Art. 5) и задължението за AI literacy (Art. 4)
- 2 август 2025 г. — задължения за доставчиците на модели на AI с общо предназначение (Глава V), както и разпоредбите за надзорните органи и санкциите
- 2 август 2026 г. — прилагат се задълженията за системи с висок риск (Глава III), прозрачност на чатботове и deepfakes (Art. 50), регулаторни sandbox-ове
- 2 август 2027 г. — пълно прилагане, включително задълженията за системи с висок риск, вградени в продукти, вече подлежащи на съществуващото хармонизационно законодателство на ЕС (Приложение I)
Класификация на риска на системите с AI
AI Act разделя системите с AI в четири категории на риск:
- Недопустим риск (забранени, Art. 5) — системи, които манипулират човешкото поведение под прага на съзнанието, social scoring от страна на властите, биометрично наблюдение в реално време (с изключения), разпознаване на емоции на работното място и в образованието, предиктивно криминално профилиране. Тези системи са забранени.
- Висок риск (Глава III, Art. 6-27) — AI, използван при подбор на персонал, кредитиране, здравеопазване, образование, правораздаване, критична инфраструктура. Най-строгите изисквания: документация, тестване, прозрачност, човешки надзор, регистрация в база данни на ЕС.
- Ограничен риск (Art. 50) — чатботове, deepfakes, системи, генериращи съдържание. Задължение за прозрачност: потребителят трябва да знае, че разговаря с AI, а съдържанието, генерирано от AI, трябва да е обозначено по машинно четим начин.
- Минимален риск — повечето приложения на AI в бизнеса: филтри срещу спам, препоръки за продукти, автоматизация на вътрешни процеси. Минимални или никакви задължения.
Кой е доставчик и кой е ползвател на система с AI?
AI Act разграничава две ключови роли. Доставчик (provider) е субектът, който създава и пуска на пазара система с AI. Ползвател (deployer) е субектът, който използва система с AI в икономическата си дейност. Задълженията са различни за всяка роля — доставчиците имат по-строги изисквания относно техническата документация и сертифицирането.
Фирма, която купува готово AI решение от доставчик и го използва за собствените си процеси, е deployer. Фирма, която адаптира или прави fine-tuning на модел за собствени приложения, може да се превърне в доставчик с всички произтичащи от това последици.
Задължения на ползвателите на системи с висок риск (Art. 26)
Ако вашата фирма използва система с AI с висок риск (например система за скоринг в кредитен процес, инструмент за предварителен подбор на CV, система за подпомагане на медицинска диагностика), вие трябва да:
- Осигурите човешки надзор над решенията на системата с AI
- Водите оперативни логове за минимум 6 месеца
- Проведете оценка на въздействието върху основните права (FRIA, Art. 27)
- Информирате служителите относно системите с AI, които ги засягат
- Докладвате сериозни инциденти и неизправности на компетентния надзорен орган
Регулаторни sandbox-ове (Art. 57-63)
AI Act предвижда регулаторни sandbox-ове — механизъм, който позволява на фирмите да тестват иновативни системи с AI под надзора на регулаторен орган в контролирана среда. Всяка държава членка е длъжна да стартира поне един sandbox до 2 август 2026 г. За фирмите, които разработват AI решения в области с висок риск, това е практически път за получаване на обратна връзка от регулаторите още преди пълната сертификация.
Санкции (Art. 99)
Глобите за нарушаване на AI Act са степенувани в зависимост от типа нарушение:
- до 35 млн. EUR или 7 % от глобалния годишен оборот (по-високата сума) за прилагане на забранени практики (Art. 5)
- до 15 млн. EUR или 3 % от глобалния годишен оборот за нарушения на останалите задължения на регламента
- до 7,5 млн. EUR или 1 % от глобалния годишен оборот за предоставяне на невярна, непълна или подвеждаща информация на надзорните органи
За МСП и стартиращи предприятия се прилага по-ниската от двете суми, за да се избегне непропорционална тежест.
Как ESKOM.AI подкрепя съответствието с AI Act
ESKOM.AI помага на организациите да се подготвят за изискванията на AI Act. Предлагаме одит на съществуващи системи с AI по отношение на класификацията на риска, изготвяне на техническа документация, внедряване на механизми за човешки надзор и журналиране, както и обучения за екипите, отговорни за compliance. Всяко ново внедряване на AI в наше изпълнение е проектирано с мисъл за съответствие с AI Act от първия ден.