AI Act — nowa rzeczywistość regulacyjna
Unia Europejska jako pierwsza na świecie stworzyła kompleksowe regulacje dotyczące sztucznej inteligencji. Rozporządzenie AI Act (Regulation (EU) 2024/1689) weszło w życie 1 sierpnia 2024 roku i jest stosowane etapowo: pierwsze obowiązki obowiązują od 2 lutego 2025, główna część od 2 sierpnia 2026, pełna aplikacja od 2 sierpnia 2027. Każde przedsiębiorstwo, które wdraża systemy AI w działalności operacyjnej w UE, musi się z nimi zapoznać.
AI Act nie zakazuje sztucznej inteligencji — reguluje ją na podstawie podejścia opartego na ryzyku. Im wyższe ryzyko, tym surowsze wymagania. Większość zastosowań biznesowych AI mieści się w kategoriach niskiego lub ograniczonego ryzyka, co oznacza stosunkowo lekkie obowiązki. Ale są obszary, gdzie wymagania są bardzo rygorystyczne.
Harmonogram wejścia w życie (Art. 113)
- 1 sierpnia 2024 — wejście w życie rozporządzenia
- 2 lutego 2025 — stosowane są zakazy niebezpiecznych praktyk (Rozdział II, Art. 5) oraz obowiązek AI literacy (Art. 4)
- 2 sierpnia 2025 — obowiązki dla dostawców modeli general-purpose AI (Rozdział V) oraz przepisy o organach nadzorczych i karach
- 2 sierpnia 2026 — stosowane są obowiązki dla systemów wysokiego ryzyka (Rozdział III), transparentność chatbotów i deepfakes (Art. 50), sandboxy regulacyjne
- 2 sierpnia 2027 — pełna aplikacja, w tym obowiązki dla systemów wysokiego ryzyka wbudowanych w produkty podlegające już istniejącym regulacjom harmonizacyjnym UE (Aneks I)
Klasyfikacja ryzyka systemów AI
AI Act dzieli systemy AI na cztery kategorie ryzyka:
- Ryzyko niedopuszczalne (zakazane, Art. 5) — systemy manipulujące ludzkim zachowaniem poniżej progu świadomości, social scoring przez władze, biometryczny nadzór w czasie rzeczywistym (z wyjątkami), rozpoznawanie emocji w miejscu pracy i edukacji, predyktywne profilowanie kryminalne. Te systemy są zakazane.
- Wysokie ryzyko (Rozdział III, Art. 6-27) — AI używana w rekrutacji, kredytowaniu, ochronie zdrowia, edukacji, sprawowaniu wymiaru sprawiedliwości, infrastrukturze krytycznej. Najsurowsze wymagania: dokumentacja, testing, przejrzystość, nadzór ludzki, rejestracja w bazie UE.
- Ograniczone ryzyko (Art. 50) — chatboty, deepfakes, systemy generujące treści. Obowiązek transparentności: użytkownik musi wiedzieć, że rozmawia z AI, a treści generowane przez AI muszą być oznaczone w sposób maszynowo czytelny.
- Minimalne ryzyko — większość zastosowań AI w biznesie: filtry spamu, rekomendacje produktów, automatyzacja procesów wewnętrznych. Minimalne lub brak obowiązków.
Kim jest dostawca, a kim użytkownik systemu AI?
AI Act rozróżnia dwie kluczowe role. Dostawca (provider) to podmiot, który tworzy i wprowadza do obrotu system AI. Deployer to podmiot, który używa systemu AI w działalności gospodarczej. Obowiązki są różne dla każdej roli — dostawcy mają bardziej rygorystyczne wymagania dotyczące dokumentacji technicznej i certyfikacji.
Firma, która kupuje gotowe rozwiązanie AI od dostawcy i używa go do własnych procesów, jest deployerem. Firma, która dostosowuje lub fine-tunuje model do własnych zastosowań, może stać się dostawcą z wszelkimi tego konsekwencjami.
Obowiązki deployerów systemów wysokiego ryzyka (Art. 26)
Jeśli Twoja firma używa systemu AI wysokiego ryzyka (np. system scoringowy w procesie kredytowym, narzędzie do preselekcji CV, system wspomagania diagnostyki medycznej), musisz:
- Zapewnić nadzór ludzki nad decyzjami systemu AI
- Prowadzić logi operacyjne przez minimum 6 miesięcy
- Przeprowadzić ocenę skutków dla praw podstawowych (FRIA, Art. 27)
- Poinformować pracowników o systemach AI, które ich dotyczą
- Zgłosić poważne incydenty i usterki do odpowiedniego organu nadzorczego
Piaskownice regulacyjne (Art. 57-63)
AI Act przewiduje sandboxy regulacyjne — mechanizm, który pozwala firmom testować innowacyjne systemy AI pod nadzorem organu nadzorczego, w kontrolowanym środowisku. Każde państwo członkowskie ma obowiązek uruchomić przynajmniej jedną sandbox do 2 sierpnia 2026. Dla firm rozwijających rozwiązania AI w obszarach wysokiego ryzyka to praktyczna ścieżka do uzyskania feedbacku regulatorów jeszcze przed pełną certyfikacją.
Sankcje (Art. 99)
Kary za naruszenie AI Act są stopniowane w zależności od typu naruszenia:
- do 35 mln EUR lub 7% globalnego rocznego obrotu (wyższa kwota) za stosowanie praktyk zakazanych (Art. 5)
- do 15 mln EUR lub 3% globalnego rocznego obrotu za naruszenia pozostałych obowiązków rozporządzenia
- do 7,5 mln EUR lub 1% globalnego rocznego obrotu za dostarczanie nieprawdziwych, niekompletnych lub wprowadzających w błąd informacji organom nadzorczym
Dla MŚP i start-upów stosuje się niższa z dwóch kwot, aby uniknąć nieproporcjonalnego obciążenia.
Jak ESKOM.AI wspiera zgodność z AI Act
ESKOM.AI pomaga organizacjom w przygotowaniu do wymogów AI Act. Oferujemy audyt istniejących systemów AI pod kątem klasyfikacji ryzyka, opracowanie dokumentacji technicznej, wdrożenie mechanizmów nadzoru ludzkiego i logowania, a także szkolenia dla zespołów odpowiedzialnych za compliance. Każde nowe wdrożenie AI w naszym wykonaniu jest projektowane z myślą o zgodności z AI Act od pierwszego dnia.