AI Act — nova regulatorna stvarnost
Europska unija prva je u svijetu stvorila sveobuhvatnu regulativu o umjetnoj inteligenciji. Uredba AI Act (Regulation (EU) 2024/1689) stupila je na snagu 1. kolovoza 2024. i primjenjuje se postupno: prve obveze primjenjuju se od 2. veljače 2025., glavni dio od 2. kolovoza 2026., potpuna primjena od 2. kolovoza 2027. Svako poduzeće koje uvodi sustave umjetne inteligencije u poslovne operacije u EU mora se s njima upoznati.
AI Act ne zabranjuje umjetnu inteligenciju — regulira je pristupom temeljenim na riziku. Što je veći rizik, stroži su zahtjevi. Većina poslovnih primjena umjetne inteligencije svrstava se u kategorije niskog ili ograničenog rizika, što znači relativno blage obveze. Ali postoje područja u kojima su zahtjevi vrlo strogi.
Vremenski raspored stupanja na snagu (Art. 113)
- 1. kolovoza 2024. — stupanje uredbe na snagu
- 2. veljače 2025. — primjenjuju se zabrane opasnih praksi (Poglavlje II, Art. 5) i obveza AI literacy (Art. 4)
- 2. kolovoza 2025. — obveze za pružatelje modela general-purpose AI (Poglavlje V) te odredbe o nadzornim tijelima i kaznama
- 2. kolovoza 2026. — primjenjuju se obveze za sustave visokog rizika (Poglavlje III), transparentnost chatbotova i deepfakeova (Art. 50), regulatorni pješčanici
- 2. kolovoza 2027. — potpuna primjena, uključujući obveze za sustave visokog rizika ugrađene u proizvode koji već podliježu postojećim EU harmonizacijskim regulativama (Prilog I)
Klasifikacija rizika sustava umjetne inteligencije
AI Act dijeli sustave umjetne inteligencije u četiri kategorije rizika:
- Neprihvatljiv rizik (zabranjeno, Art. 5) — sustavi koji manipuliraju ljudskim ponašanjem ispod praga svjesnosti, social scoring od strane vlasti, biometrijski nadzor u stvarnom vremenu (uz iznimke), prepoznavanje emocija na radnom mjestu i u obrazovanju, prediktivno kriminalno profiliranje. Ti su sustavi zabranjeni.
- Visok rizik (Poglavlje III, Art. 6-27) — umjetna inteligencija koja se koristi u zapošljavanju, kreditiranju, zdravstvu, obrazovanju, pravosuđu, kritičnoj infrastrukturi. Najstroži zahtjevi: dokumentacija, testiranje, transparentnost, ljudski nadzor, upis u bazu EU.
- Ograničen rizik (Art. 50) — chatbotovi, deepfakeovi, sustavi koji generiraju sadržaj. Obveza transparentnosti: korisnik mora znati da razgovara s umjetnom inteligencijom, a sadržaj generiran umjetnom inteligencijom mora biti strojno čitljivo označen.
- Minimalan rizik — većina primjena umjetne inteligencije u poslovanju: filtri za neželjenu poštu, preporuke proizvoda, automatizacija internih procesa. Minimalne ili nikakve obveze.
Tko je pružatelj, a tko korisnik sustava umjetne inteligencije?
AI Act razlikuje dvije ključne uloge. Pružatelj (provider) je subjekt koji stvara i stavlja na tržište sustav umjetne inteligencije. Deployer je subjekt koji koristi sustav umjetne inteligencije u gospodarskoj djelatnosti. Obveze su različite za svaku ulogu — pružatelji imaju strože zahtjeve u pogledu tehničke dokumentacije i certifikacije.
Tvrtka koja kupuje gotovo rješenje umjetne inteligencije od pružatelja i koristi ga za vlastite procese je deployer. Tvrtka koja prilagođava ili provodi fine-tuning modela za vlastite primjene može postati pružatelj sa svim posljedicama toga.
Obveze deployera sustava visokog rizika (Art. 26)
Ako vaša tvrtka koristi sustav umjetne inteligencije visokog rizika (npr. sustav za bodovanje u kreditnom procesu, alat za preselekciju životopisa, sustav za podršku medicinskoj dijagnostici), morate:
- Osigurati ljudski nadzor nad odlukama sustava umjetne inteligencije
- Voditi operativne zapise najmanje 6 mjeseci
- Provesti procjenu učinka na temeljna prava (FRIA, Art. 27)
- Informirati zaposlenike o sustavima umjetne inteligencije koji ih se tiču
- Prijaviti ozbiljne incidente i kvarove nadležnom nadzornom tijelu
Regulatorni pješčanici (Art. 57-63)
AI Act predviđa regulatorne pješčanike — mehanizam koji omogućuje tvrtkama testiranje inovativnih sustava umjetne inteligencije pod nadzorom regulatornog tijela u kontroliranom okruženju. Svaka država članica dužna je pokrenuti barem jedan pješčanik do 2. kolovoza 2026. Za tvrtke koje razvijaju rješenja umjetne inteligencije u područjima visokog rizika ovo je praktičan put za dobivanje povratnih informacija od regulatora još prije potpune certifikacije.
Sankcije (Art. 99)
Kazne za kršenje AI Acta stupnjevane su ovisno o vrsti povrede:
- do 35 milijuna EUR ili 7% globalnog godišnjeg prometa (veći iznos) za primjenu zabranjenih praksi (Art. 5)
- do 15 milijuna EUR ili 3% globalnog godišnjeg prometa za kršenja ostalih obveza uredbe
- do 7,5 milijuna EUR ili 1% globalnog godišnjeg prometa za dostavljanje neistinitih, nepotpunih ili obmanjujućih informacija nadzornim tijelima
Za MSP-ove i startupe primjenjuje se manji od dvaju iznosa, kako bi se izbjeglo nerazmjerno opterećenje.
Kako ESKOM.AI podržava usklađenost s AI Actom
ESKOM.AI pomaže organizacijama u pripremi za zahtjeve AI Acta. Nudimo reviziju postojećih sustava umjetne inteligencije u pogledu klasifikacije rizika, izradu tehničke dokumentacije, uvođenje mehanizama ljudskog nadzora i bilježenja, kao i edukaciju timova odgovornih za usklađenost. Svaka nova implementacija umjetne inteligencije u našoj izvedbi dizajnirana je s mislju na usklađenost s AI Actom od prvog dana.