AI Act — új szabályozási valóság
Az Európai Unió a világon elsőként alkotott átfogó szabályozást a mesterséges intelligenciáról. Az AI Act rendelet (Regulation (EU) 2024/1689) 2024. augusztus 1-jén lépett hatályba és szakaszosan alkalmazandó: az első kötelezettségek 2025. február 2-ától, a fő rész 2026. augusztus 2-ától, a teljes alkalmazás 2027. augusztus 2-ától érvényes. Minden vállalkozásnak, amely AI-rendszereket vezet be az EU-ban folytatott működési tevékenységébe, meg kell ismerkednie velük.
Az AI Act nem tiltja a mesterséges intelligenciát — kockázatalapú megközelítéssel szabályozza. Minél nagyobb a kockázat, annál szigorúbbak a követelmények. Az AI üzleti felhasználásainak többsége az alacsony vagy korlátozott kockázatú kategóriákba tartozik, ami viszonylag enyhe kötelezettségeket jelent. Vannak azonban területek, ahol a követelmények nagyon szigorúak.
Hatálybalépési ütemterv (Art. 113)
- 2024. augusztus 1. — a rendelet hatálybalépése
- 2025. február 2. — alkalmazandók a veszélyes gyakorlatok tilalmai (II. fejezet, Art. 5) és az AI literacy kötelezettség (Art. 4)
- 2025. augusztus 2. — kötelezettségek a general-purpose AI modellek szolgáltatói számára (V. fejezet), valamint a felügyeleti hatóságokra és büntetésekre vonatkozó rendelkezések
- 2026. augusztus 2. — alkalmazandók a magas kockázatú rendszerekre vonatkozó kötelezettségek (III. fejezet), a chatbotok és deepfake-ek átláthatósága (Art. 50), valamint a szabályozási homokozók
- 2027. augusztus 2. — teljes alkalmazás, beleértve a már meglévő EU harmonizációs szabályozások (I. melléklet) hatálya alá tartozó termékekbe beépített magas kockázatú rendszerekre vonatkozó kötelezettségeket
AI-rendszerek kockázati besorolása
Az AI Act az AI-rendszereket négy kockázati kategóriába sorolja:
- Elfogadhatatlan kockázat (tiltott, Art. 5) — olyan rendszerek, amelyek a tudatosság küszöbe alatt manipulálják az emberi viselkedést, social scoring hatóságok által, valós idejű biometrikus felügyelet (kivételekkel), érzelemfelismerés munkahelyen és oktatásban, prediktív bűnügyi profilalkotás. Ezek a rendszerek tiltottak.
- Magas kockázat (III. fejezet, Art. 6-27) — AI, amelyet toborzásban, hitelezésben, egészségügyben, oktatásban, igazságszolgáltatásban, kritikus infrastruktúrában használnak. A legszigorúbb követelmények: dokumentáció, tesztelés, átláthatóság, emberi felügyelet, regisztráció az EU-s adatbázisban.
- Korlátozott kockázat (Art. 50) — chatbotok, deepfake-ek, tartalomgeneráló rendszerek. Átláthatósági kötelezettség: a felhasználónak tudnia kell, hogy AI-val beszélget, az AI által generált tartalmat pedig géppel olvasható módon meg kell jelölni.
- Minimális kockázat — az AI üzleti felhasználásainak többsége: spamszűrők, termékajánlások, belső folyamatok automatizálása. Minimális vagy semmilyen kötelezettség.
Ki a szolgáltató és ki az AI-rendszer felhasználója?
Az AI Act két kulcsfontosságú szerepet különböztet meg. A szolgáltató (provider) az a jogalany, amely létrehoz és piacra bocsát egy AI-rendszert. A deployer az a jogalany, amely AI-rendszert használ gazdasági tevékenységében. A kötelezettségek különböznek az egyes szerepeknél — a szolgáltatók szigorúbb követelményekkel szembesülnek a műszaki dokumentáció és tanúsítás tekintetében.
Az a vállalat, amely kész AI-megoldást vásárol egy szolgáltatótól és saját folyamataihoz használja, deployer. Az a vállalat, amely adaptál vagy fine-tuningol egy modellt saját felhasználásra, szolgáltatóvá válhat, ennek minden következményével együtt.
Magas kockázatú rendszerek deployereinek kötelezettségei (Art. 26)
Ha a vállalata magas kockázatú AI-rendszert használ (pl. scoring rendszer a hitelbírálati folyamatban, önéletrajz-előszűrő eszköz, orvosi diagnosztikai támogató rendszer), köteles:
- Biztosítani az emberi felügyeletet az AI-rendszer döntései felett
- Vezetni a működési naplókat legalább 6 hónapig
- Elvégezni az alapvető jogokra gyakorolt hatásvizsgálatot (FRIA, Art. 27)
- Tájékoztatni a munkavállalókat a rájuk vonatkozó AI-rendszerekről
- Jelenteni a súlyos incidenseket és hibákat az illetékes felügyeleti hatóságnak
Szabályozási homokozók (Art. 57-63)
Az AI Act szabályozási homokozókat irányoz elő — olyan mechanizmust, amely lehetővé teszi a vállalatok számára, hogy innovatív AI-rendszereket teszteljenek a szabályozó hatóság felügyelete alatt, ellenőrzött környezetben. Minden tagállam köteles legalább egy homokozót elindítani 2026. augusztus 2-ig. A magas kockázatú területeken AI-megoldásokat fejlesztő vállalatok számára ez gyakorlati út a szabályozói visszajelzések megszerzésére még a teljes tanúsítás előtt.
Szankciók (Art. 99)
Az AI Act megsértéséért járó büntetések a jogsértés típusától függően fokozatosak:
- legfeljebb 35 millió EUR vagy a globális éves forgalom 7%-a (a magasabb összeg) tiltott gyakorlatok alkalmazásáért (Art. 5)
- legfeljebb 15 millió EUR vagy a globális éves forgalom 3%-a a rendelet egyéb kötelezettségeinek megsértéséért
- legfeljebb 7,5 millió EUR vagy a globális éves forgalom 1%-a hamis, hiányos vagy félrevezető információk szolgáltatásáért a felügyeleti hatóságok számára
A kkv-kra és startupokra a két összeg közül a kisebb érvényes, hogy elkerüljék az aránytalan terhet.
Hogyan támogatja az ESKOM.AI az AI Act-nak való megfelelést
Az ESKOM.AI segíti a szervezeteket az AI Act követelményeire való felkészülésben. Kínálunk meglévő AI-rendszerek kockázatbesorolás szerinti auditját, műszaki dokumentáció kidolgozását, emberi felügyeleti és naplózási mechanizmusok bevezetését, valamint a megfelelésért felelős csapatok képzését. Minden új AI-bevezetésünket az első naptól kezdve az AI Act-nak való megfelelés szem előtt tartásával tervezzük.