AI Act — nova regulativna resničnost
Evropska unija je kot prva na svetu ustvarila celovito ureditev umetne inteligence. Uredba AI Act (Regulation (EU) 2024/1689) je začela veljati 1. avgusta 2024 in se uporablja postopno: prve obveznosti veljajo od 2. februarja 2025, glavni del od 2. avgusta 2026, polna uporaba od 2. avgusta 2027. Vsako podjetje, ki uvaja sisteme AI v svoje poslovanje v EU, se mora z njimi seznaniti.
AI Act ne prepoveduje umetne inteligence — ureja jo na podlagi pristopa, temelječega na tveganju. Višje kot je tveganje, strožje so zahteve. Večina poslovnih aplikacij AI spada v kategoriji nizkega ali omejenega tveganja, kar pomeni razmeroma lahke obveznosti. Obstajajo pa področja, kjer so zahteve zelo stroge.
Časovnica uveljavitve (Art. 113)
- 1. avgusta 2024 — začetek veljavnosti uredbe
- 2. februarja 2025 — uporabljajo se prepovedi nevarnih praks (Poglavje II, Art. 5) in obveznost AI pismenosti (Art. 4)
- 2. avgusta 2025 — obveznosti za ponudnike splošnih modelov AI (Poglavje V) ter določbe o nadzornih organih in kaznih
- 2. avgusta 2026 — uporabljajo se obveznosti za sisteme visokega tveganja (Poglavje III), transparentnost chatbotov in deepfakeov (Art. 50), regulativni peskovniki
- 2. avgusta 2027 — polna uporaba, vključno z obveznostmi za sisteme visokega tveganja, vgrajene v izdelke, ki že spadajo pod obstoječe harmonizacijske predpise EU (Priloga I)
Klasifikacija tveganja sistemov AI
AI Act deli sisteme AI v štiri kategorije tveganja:
- Nesprejemljivo tveganje (prepovedano, Art. 5) — sistemi, ki manipulirajo človeško vedenje pod pragom zavesti, družbeno točkovanje s strani oblasti, biometrični nadzor v realnem času (z izjemami), prepoznavanje čustev na delovnem mestu in v izobraževanju, prediktivno profiliranje kriminala. Ti sistemi so prepovedani.
- Visoko tveganje (Poglavje III, Art. 6-27) — AI, uporabljena pri zaposlovanju, kreditiranju, zdravstveni oskrbi, izobraževanju, izvrševanju pravosodja, kritični infrastrukturi. Najstrožje zahteve: dokumentacija, testiranje, transparentnost, človeški nadzor, registracija v bazi EU.
- Omejeno tveganje (Art. 50) — chatboti, deepfakei, sistemi za generiranje vsebin. Obveznost transparentnosti: uporabnik mora vedeti, da komunicira z AI, vsebine, ki jih ustvari AI, pa morajo biti označene strojno berljivo.
- Minimalno tveganje — večina poslovnih aplikacij AI: filtri neželene pošte, priporočila izdelkov, avtomatizacija internih procesov. Minimalne ali nobene obveznosti.
Kdo je ponudnik in kdo uporabnik sistema AI?
AI Act razlikuje med dvema ključnima vlogama. Ponudnik (provider) je subjekt, ki ustvarja in daje sistem AI na trg. Deployer je subjekt, ki uporablja sistem AI v gospodarski dejavnosti. Obveznosti so različne za vsako vlogo — ponudniki imajo strožje zahteve glede tehnične dokumentacije in certificiranja.
Podjetje, ki kupi končno rešitev AI od ponudnika in jo uporablja za svoje procese, je deployer. Podjetje, ki prilagaja ali fine-tuna model za svoje aplikacije, lahko postane ponudnik z vsemi posledicami.
Obveznosti deployerjev sistemov visokega tveganja (Art. 26)
Če vaše podjetje uporablja sistem AI visokega tveganja (npr. točkovalni sistem v kreditnem procesu, orodje za predselekcijo življenjepisov, sistem za podporo medicinski diagnostiki), morate:
- Zagotoviti človeški nadzor nad odločitvami sistema AI
- Voditi operativne dnevnike najmanj 6 mesecev
- Izvesti oceno učinkov na temeljne pravice (FRIA, Art. 27)
- Obvestiti zaposlene o sistemih AI, ki jih zadevajo
- Prijaviti resne incidente in okvare pristojnemu nadzornemu organu
Regulativni peskovniki (Art. 57-63)
AI Act predvideva regulativne peskovnike — mehanizem, ki podjetjem omogoča preizkušanje inovativnih sistemov AI pod nadzorom nadzornega organa v kontroliranem okolju. Vsaka država članica mora zagnati vsaj en peskovnik do 2. avgusta 2026. Za podjetja, ki razvijajo rešitve AI na področjih visokega tveganja, je to praktična pot do pridobitve povratnih informacij regulatorjev še pred polno certifikacijo.
Sankcije (Art. 99)
Kazni za kršitev AI Act so stopnjevane glede na vrsto kršitve:
- do 35 milijonov EUR ali 7% globalnega letnega prometa (višji znesek) za izvajanje prepovedanih praks (Art. 5)
- do 15 milijonov EUR ali 3% globalnega letnega prometa za kršitve drugih obveznosti uredbe
- do 7,5 milijona EUR ali 1% globalnega letnega prometa za zagotavljanje neresničnih, nepopolnih ali zavajajočih informacij nadzornim organom
Za MSP in zagonska podjetja se uporablja nižji od obeh zneskov, da se izogne nesorazmerni obremenitvi.
Kako ESKOM.AI podpira skladnost z AI Act
ESKOM.AI pomaga organizacijam pri pripravi na zahteve AI Act. Ponujamo revizijo obstoječih sistemov AI glede klasifikacije tveganja, pripravo tehnične dokumentacije, implementacijo mehanizmov človeškega nadzora in beleženja ter usposabljanja za ekipe, odgovorne za compliance. Vsaka nova uvedba AI v naši izvedbi je zasnovana s poudarkom na skladnosti z AI Act od prvega dne.