AI Act — una nova realitat reguladora
La Unió Europea ha estat la primera al món a crear una regulació completa de la intel·ligència artificial. El reglament AI Act (Regulation (EU) 2024/1689) va entrar en vigor l'1 d'agost de 2024 i s'aplica gradualment: les primeres obligacions regeixen des del 2 de febrer de 2025, la part principal des del 2 d'agost de 2026, l'aplicació plena des del 2 d'agost de 2027. Qualsevol empresa que desplegui sistemes d'IA en la seva activitat operativa a la UE hi ha d'estar familiaritzada.
L'AI Act no prohibeix la intel·ligència artificial — la regula sobre la base d'un enfocament basat en el risc. Com més alt és el risc, més estrictes són els requisits. La majoria de les aplicacions d'IA empresarials entren a les categories de risc baix o limitat, cosa que suposa obligacions relativament lleugeres. Però hi ha àmbits on els requisits són molt rigorosos.
Calendari d'entrada en vigor (Art. 113)
- 1 d'agost de 2024 — entrada en vigor del reglament
- 2 de febrer de 2025 — s'apliquen les prohibicions de pràctiques perilloses (Capítol II, Art. 5) i l'obligació d'alfabetització en IA (Art. 4)
- 2 d'agost de 2025 — obligacions per als proveïdors de models d'IA de propòsit general (Capítol V) i disposicions sobre autoritats de supervisió i sancions
- 2 d'agost de 2026 — s'apliquen les obligacions per a sistemes d'alt risc (Capítol III), transparència de chatbots i deepfakes (Art. 50), sandboxes reguladors
- 2 d'agost de 2027 — aplicació plena, inclosos els deures per a sistemes d'alt risc integrats en productes ja subjectes a normativa harmonitzadora vigent de la UE (Annex I)
Classificació de risc dels sistemes d'IA
L'AI Act divideix els sistemes d'IA en quatre categories de risc:
- Risc inacceptable (prohibit, Art. 5) — sistemes que manipulen el comportament humà per sota del llindar de consciència, puntuació social per les autoritats, vigilància biomètrica en temps real (amb excepcions), reconeixement d'emocions al lloc de treball i a l'educació, perfilatge criminal predictiu. Aquests sistemes estan prohibits.
- Alt risc (Capítol III, Art. 6-27) — IA utilitzada en reclutament, crèdit, atenció sanitària, educació, administració de justícia, infraestructures crítiques. Requisits més estrictes: documentació, proves, transparència, supervisió humana, registre a la base de dades de la UE.
- Risc limitat (Art. 50) — chatbots, deepfakes, sistemes generadors de contingut. Obligació de transparència: l'usuari ha de saber que està parlant amb una IA, i els continguts generats per IA han d'estar marcats de forma llegible per màquines.
- Risc mínim — la majoria d'aplicacions d'IA en negocis: filtres de correu brossa, recomanacions de productes, automatització de processos interns. Obligacions mínimes o nul·les.
Qui és proveïdor i qui usuari d'un sistema d'IA?
L'AI Act distingeix dos rols clau. El proveïdor (provider) és l'entitat que crea i posa al mercat un sistema d'IA. El deployer és l'entitat que utilitza el sistema d'IA en la seva activitat econòmica. Les obligacions són diferents per a cada rol — els proveïdors tenen requisits més estrictes pel que fa a documentació tècnica i certificació.
Una empresa que compra una solució d'IA ja feta a un proveïdor i l'utilitza per als seus propis processos és un deployer. Una empresa que adapta o fa fine-tuning d'un model per a les seves pròpies aplicacions pot convertir-se en proveïdor amb totes les conseqüències.
Obligacions dels deployers de sistemes d'alt risc (Art. 26)
Si la vostra empresa utilitza un sistema d'IA d'alt risc (per exemple, un sistema de scoring en el procés creditici, una eina per a la preselecció de CV, un sistema de suport al diagnòstic mèdic), cal que:
- Garantiu la supervisió humana sobre les decisions del sistema d'IA
- Mantingueu registres operatius durant un mínim de 6 mesos
- Realitzeu una avaluació d'impacte sobre els drets fonamentals (FRIA, Art. 27)
- Informeu els empleats sobre els sistemes d'IA que els afecten
- Notifiqueu incidents greus i avaries a l'autoritat de supervisió corresponent
Sandboxes reguladors (Art. 57-63)
L'AI Act preveu sandboxes reguladors — un mecanisme que permet a les empreses provar sistemes d'IA innovadors sota la supervisió d'una autoritat reguladora en un entorn controlat. Cada estat membre té l'obligació d'engegar com a mínim un sandbox abans del 2 d'agost de 2026. Per a les empreses que desenvolupen solucions d'IA en àmbits d'alt risc és una via pràctica per obtenir retorn dels reguladors abans de la certificació plena.
Sancions (Art. 99)
Les multes per infracció de l'AI Act estan graduades en funció del tipus d'infracció:
- fins a 35 milions EUR o el 7% de la facturació anual global (l'import més alt) per aplicar pràctiques prohibides (Art. 5)
- fins a 15 milions EUR o el 3% de la facturació anual global per infraccions de la resta d'obligacions del reglament
- fins a 7,5 milions EUR o l'1% de la facturació anual global per proporcionar informació falsa, incompleta o enganyosa a les autoritats de supervisió
Per a les PIMES i startups s'aplica el menor dels dos imports per evitar una càrrega desproporcionada.
Com ESKOM.AI dona suport al compliment de l'AI Act
ESKOM.AI ajuda les organitzacions a preparar-se per als requisits de l'AI Act. Oferim auditoria dels sistemes d'IA existents pel que fa a la classificació de risc, elaboració de documentació tècnica, implementació de mecanismes de supervisió humana i registre, així com formació per als equips responsables de compliance. Cada nova implementació d'IA feta per nosaltres està dissenyada tenint en compte el compliment de l'AI Act des del primer dia.