AI Act — o nouă realitate de reglementare
Uniunea Europeană a fost prima din lume care a creat o reglementare cuprinzătoare privind inteligența artificială. Regulamentul AI Act (Regulation (EU) 2024/1689) a intrat în vigoare la 1 august 2024 și se aplică etapizat: primele obligații se aplică de la 2 februarie 2025, partea principală de la 2 august 2026, aplicarea integrală de la 2 august 2027. Orice întreprindere care implementează sisteme de IA în activitatea operațională din UE trebuie să se familiarizeze cu acestea.
AI Act nu interzice inteligența artificială — o reglementează pe baza unei abordări bazate pe risc. Cu cât riscul este mai mare, cu atât cerințele sunt mai stricte. Majoritatea aplicațiilor IA de business se încadrează în categoriile de risc scăzut sau limitat, ceea ce înseamnă obligații relativ ușoare. Dar există domenii în care cerințele sunt foarte riguroase.
Calendarul intrării în vigoare (Art. 113)
- 1 august 2024 — intrarea în vigoare a regulamentului
- 2 februarie 2025 — se aplică interdicțiile privind practicile periculoase (Capitolul II, Art. 5) și obligația de AI literacy (Art. 4)
- 2 august 2025 — obligații pentru furnizorii de modele general-purpose AI (Capitolul V) și dispoziții privind autoritățile de supraveghere și sancțiunile
- 2 august 2026 — se aplică obligațiile pentru sistemele cu risc ridicat (Capitolul III), transparența chatboților și deepfake-urilor (Art. 50), sandbox-urile de reglementare
- 2 august 2027 — aplicare integrală, inclusiv obligațiile pentru sistemele cu risc ridicat integrate în produse care sunt deja supuse regulamentelor de armonizare ale UE existente (Anexa I)
Clasificarea riscului sistemelor IA
AI Act împarte sistemele IA în patru categorii de risc:
- Risc inacceptabil (interzis, Art. 5) — sisteme care manipulează comportamentul uman sub pragul conștiinței, social scoring de către autorități, supraveghere biometrică în timp real (cu excepții), recunoașterea emoțiilor la locul de muncă și în educație, profilare criminală predictivă. Aceste sisteme sunt interzise.
- Risc ridicat (Capitolul III, Art. 6-27) — IA utilizată în recrutare, creditare, asistență medicală, educație, administrarea justiției, infrastructură critică. Cerințele cele mai stricte: documentație, testare, transparență, supraveghere umană, înregistrare în baza de date a UE.
- Risc limitat (Art. 50) — chatboți, deepfake-uri, sisteme de generare de conținut. Obligația de transparență: utilizatorul trebuie să știe că vorbește cu IA, iar conținutul generat de IA trebuie marcat într-un mod citibil de mașină.
- Risc minim — majoritatea aplicațiilor IA în business: filtre anti-spam, recomandări de produse, automatizarea proceselor interne. Obligații minime sau inexistente.
Cine este furnizor și cine este utilizator al sistemului IA?
AI Act distinge două roluri-cheie. Furnizorul (provider) este o entitate care creează și introduce pe piață un sistem IA. Deployer este o entitate care utilizează un sistem IA în activitatea economică. Obligațiile sunt diferite pentru fiecare rol — furnizorii au cerințe mai stricte privind documentația tehnică și certificarea.
O companie care cumpără o soluție IA gata făcută de la un furnizor și o utilizează pentru propriile procese este deployer. O companie care adaptează sau fine-tune un model pentru propriile aplicații poate deveni furnizor, cu toate consecințele ce decurg din aceasta.
Obligațiile deployer-ilor de sisteme cu risc ridicat (Art. 26)
Dacă firma dumneavoastră utilizează un sistem IA cu risc ridicat (de ex. sistem de scoring în procesul de creditare, instrument de preselecție a CV-urilor, sistem de suport pentru diagnosticul medical), trebuie să:
- Asigurați supraveghere umană asupra deciziilor sistemului IA
- Țineți jurnale operaționale pentru minimum 6 luni
- Efectuați evaluarea impactului asupra drepturilor fundamentale (FRIA, Art. 27)
- Informați angajații cu privire la sistemele IA care îi privesc
- Raportați incidentele grave și defecțiunile autorității de supraveghere competente
Sandbox-uri de reglementare (Art. 57-63)
AI Act prevede sandbox-uri de reglementare — un mecanism care permite companiilor să testeze sisteme IA inovatoare sub supravegherea autorității de supraveghere, într-un mediu controlat. Fiecare stat membru are obligația de a lansa cel puțin un sandbox până la 2 august 2026. Pentru companiile care dezvoltă soluții IA în domenii cu risc ridicat, aceasta este o cale practică pentru a obține feedback de la autoritățile de reglementare înainte de certificarea completă.
Sancțiuni (Art. 99)
Sancțiunile pentru încălcarea AI Act sunt graduale în funcție de tipul încălcării:
- până la 35 milioane EUR sau 7% din cifra de afaceri anuală globală (suma mai mare) pentru utilizarea practicilor interzise (Art. 5)
- până la 15 milioane EUR sau 3% din cifra de afaceri anuală globală pentru încălcarea celorlalte obligații ale regulamentului
- până la 7,5 milioane EUR sau 1% din cifra de afaceri anuală globală pentru furnizarea de informații false, incomplete sau înșelătoare autorităților de supraveghere
Pentru IMM-uri și start-up-uri se aplică cea mai mică dintre cele două sume, pentru a evita o povară disproporționată.
Cum susține ESKOM.AI conformitatea cu AI Act
ESKOM.AI ajută organizațiile să se pregătească pentru cerințele AI Act. Oferim audit al sistemelor IA existente din perspectiva clasificării riscului, elaborarea documentației tehnice, implementarea mecanismelor de supraveghere umană și logging, precum și instruire pentru echipele responsabile de conformitate. Fiecare nouă implementare IA din partea noastră este concepută din prima zi cu gândul la conformitatea cu AI Act.