AI Act — μια νέα ρυθμιστική πραγματικότητα
Η Ευρωπαϊκή Ένωση δημιούργησε πρώτη στον κόσμο ολοκληρωμένη ρύθμιση για την τεχνητή νοημοσύνη. Ο Κανονισμός AI Act (Regulation (EU) 2024/1689) τέθηκε σε ισχύ την 1 Αυγούστου 2024 και εφαρμόζεται σταδιακά: οι πρώτες υποχρεώσεις ισχύουν από τις 2 Φεβρουαρίου 2025, το κύριο μέρος από τις 2 Αυγούστου 2026 και η πλήρης εφαρμογή από τις 2 Αυγούστου 2027. Κάθε επιχείρηση που αναπτύσσει συστήματα AI στην επιχειρησιακή της δραστηριότητα στην ΕΕ πρέπει να τις γνωρίζει.
Ο AI Act δεν απαγορεύει την τεχνητή νοημοσύνη — τη ρυθμίζει με βάση μια προσέγγιση με γνώμονα τον κίνδυνο. Όσο υψηλότερος είναι ο κίνδυνος, τόσο αυστηρότερες είναι οι απαιτήσεις. Οι περισσότερες επιχειρηματικές εφαρμογές AI εμπίπτουν στις κατηγορίες χαμηλού ή περιορισμένου κινδύνου, πράγμα που συνεπάγεται σχετικά ελαφριές υποχρεώσεις. Υπάρχουν όμως τομείς όπου οι απαιτήσεις είναι πολύ αυστηρές.
Χρονοδιάγραμμα έναρξης ισχύος (Art. 113)
- 1 Αυγούστου 2024 — έναρξη ισχύος του κανονισμού
- 2 Φεβρουαρίου 2025 — εφαρμόζονται οι απαγορεύσεις επικίνδυνων πρακτικών (Κεφάλαιο II, Art. 5) και η υποχρέωση για γραμματισμό στην AI (Art. 4)
- 2 Αυγούστου 2025 — υποχρεώσεις για παρόχους μοντέλων γενικής χρήσης AI (general-purpose, Κεφάλαιο V) και διατάξεις για τις εποπτικές αρχές και τις κυρώσεις
- 2 Αυγούστου 2026 — εφαρμόζονται οι υποχρεώσεις για συστήματα υψηλού κινδύνου (Κεφάλαιο III), η διαφάνεια για chatbots και deepfakes (Art. 50) και τα ρυθμιστικά sandboxes
- 2 Αυγούστου 2027 — πλήρης εφαρμογή, συμπεριλαμβανομένων των υποχρεώσεων για συστήματα υψηλού κινδύνου που είναι ενσωματωμένα σε προϊόντα τα οποία υπόκεινται ήδη στην ισχύουσα εναρμονιστική νομοθεσία της ΕΕ (Παράρτημα I)
Ταξινόμηση κινδύνου των συστημάτων AI
Ο AI Act κατατάσσει τα συστήματα AI σε τέσσερις κατηγορίες κινδύνου:
- Μη αποδεκτός κίνδυνος (απαγορευμένα, Art. 5) — συστήματα που χειραγωγούν την ανθρώπινη συμπεριφορά κάτω από το όριο της συνείδησης, social scoring από τις αρχές, βιομετρική επιτήρηση σε πραγματικό χρόνο (με εξαιρέσεις), αναγνώριση συναισθημάτων στον χώρο εργασίας και της εκπαίδευσης, προγνωστική κατάρτιση εγκληματικών προφίλ. Τα συστήματα αυτά απαγορεύονται.
- Υψηλός κίνδυνος (Κεφάλαιο III, Art. 6-27) — AI που χρησιμοποιείται σε προσλήψεις, χορήγηση πιστώσεων, υγειονομική περίθαλψη, εκπαίδευση, απονομή δικαιοσύνης, υποδομές ζωτικής σημασίας. Οι πιο αυστηρές απαιτήσεις: τεκμηρίωση, δοκιμές, διαφάνεια, ανθρώπινη εποπτεία, καταχώρηση σε βάση δεδομένων της ΕΕ.
- Περιορισμένος κίνδυνος (Art. 50) — chatbots, deepfakes, συστήματα που παράγουν περιεχόμενο. Υποχρέωση διαφάνειας: ο χρήστης πρέπει να γνωρίζει ότι συνομιλεί με AI, ενώ το περιεχόμενο που παράγεται από AI πρέπει να επισημαίνεται με μηχανικά αναγνώσιμο τρόπο.
- Ελάχιστος κίνδυνος — οι περισσότερες επιχειρηματικές εφαρμογές AI: φίλτρα ανεπιθύμητης αλληλογραφίας, συστάσεις προϊόντων, αυτοματοποίηση εσωτερικών διαδικασιών. Ελάχιστες ή καμία υποχρέωση.
Ποιος είναι πάροχος και ποιος φορέας εφαρμογής ενός συστήματος AI;
Ο AI Act διακρίνει δύο βασικούς ρόλους. Πάροχος (provider) είναι ο φορέας που δημιουργεί και διαθέτει στην αγορά ένα σύστημα AI. Φορέας εφαρμογής (deployer) είναι ο φορέας που χρησιμοποιεί το σύστημα AI στο πλαίσιο οικονομικής δραστηριότητας. Οι υποχρεώσεις διαφέρουν για κάθε ρόλο — οι πάροχοι έχουν αυστηρότερες απαιτήσεις όσον αφορά την τεχνική τεκμηρίωση και την πιστοποίηση.
Μια εταιρεία που αγοράζει έτοιμη λύση AI από πάροχο και τη χρησιμοποιεί για τις δικές της διαδικασίες είναι φορέας εφαρμογής. Μια εταιρεία που προσαρμόζει ή εκτελεί fine-tuning σε ένα μοντέλο για δικές της χρήσεις μπορεί να καταστεί πάροχος με όλες τις συνέπειες που αυτό συνεπάγεται.
Υποχρεώσεις των φορέων εφαρμογής συστημάτων υψηλού κινδύνου (Art. 26)
Εάν η εταιρεία σας χρησιμοποιεί σύστημα AI υψηλού κινδύνου (π.χ. σύστημα βαθμολόγησης στη διαδικασία χορήγησης πιστώσεων, εργαλείο προεπιλογής βιογραφικών, σύστημα υποστήριξης ιατρικής διάγνωσης), οφείλετε να:
- Διασφαλίσετε την ανθρώπινη εποπτεία των αποφάσεων του συστήματος AI
- Τηρείτε επιχειρησιακά αρχεία καταγραφής για τουλάχιστον 6 μήνες
- Διενεργήσετε εκτίμηση επιπτώσεων στα θεμελιώδη δικαιώματα (FRIA, Art. 27)
- Ενημερώσετε τους εργαζομένους για τα συστήματα AI που τους αφορούν
- Αναφέρετε σοβαρά περιστατικά και δυσλειτουργίες στην αρμόδια εποπτική αρχή
Ρυθμιστικά sandboxes (Art. 57-63)
Ο AI Act προβλέπει ρυθμιστικά sandboxes — έναν μηχανισμό που επιτρέπει στις εταιρείες να δοκιμάζουν καινοτόμα συστήματα AI υπό την εποπτεία ρυθμιστικής αρχής σε ελεγχόμενο περιβάλλον. Κάθε κράτος μέλος υποχρεούται να ενεργοποιήσει τουλάχιστον ένα sandbox έως τις 2 Αυγούστου 2026. Για εταιρείες που αναπτύσσουν λύσεις AI σε τομείς υψηλού κινδύνου, αποτελεί πρακτική οδό για τη λήψη feedback από τους ρυθμιστές πριν ακόμη από την πλήρη πιστοποίηση.
Κυρώσεις (Art. 99)
Τα πρόστιμα για παραβίαση του AI Act είναι κλιμακωτά ανάλογα με τον τύπο της παράβασης:
- έως 35 εκατ. EUR ή 7 % του παγκόσμιου ετήσιου κύκλου εργασιών (το υψηλότερο ποσό) για την εφαρμογή απαγορευμένων πρακτικών (Art. 5)
- έως 15 εκατ. EUR ή 3 % του παγκόσμιου ετήσιου κύκλου εργασιών για παραβίαση των λοιπών υποχρεώσεων του κανονισμού
- έως 7,5 εκατ. EUR ή 1 % του παγκόσμιου ετήσιου κύκλου εργασιών για την παροχή ψευδών, ελλιπών ή παραπλανητικών πληροφοριών στις εποπτικές αρχές
Για τις ΜμΕ και τις νεοφυείς επιχειρήσεις εφαρμόζεται το χαμηλότερο από τα δύο ποσά, προκειμένου να αποφευχθεί δυσανάλογη επιβάρυνση.
Πώς η ESKOM.AI υποστηρίζει τη συμμόρφωση με τον AI Act
Η ESKOM.AI βοηθά τους οργανισμούς να προετοιμαστούν για τις απαιτήσεις του AI Act. Προσφέρουμε έλεγχο των υφιστάμενων συστημάτων AI ως προς την ταξινόμηση κινδύνου, εκπόνηση τεχνικής τεκμηρίωσης, εφαρμογή μηχανισμών ανθρώπινης εποπτείας και καταγραφής, καθώς και εκπαιδεύσεις για τις ομάδες που είναι υπεύθυνες για τη συμμόρφωση. Κάθε νέα υλοποίηση AI στην εκτέλεσή μας σχεδιάζεται με γνώμονα τη συμμόρφωση με τον AI Act από την πρώτη ημέρα.