Rozporządzenie w sprawie sztucznej inteligencji (AI Act)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1381 z 13 marca 2024 r. w sprawie zharmonizowanych przepisów dotyczących sztucznej inteligencji (w skrócie AI Act) ustanawia jednolite zasady bezpiecznego i odpowiedzialnego stosowania sztucznej inteligencji w Unii Europejskiej. Przepisy weszły w życie i będą stosowane etapami, przy czym większość obowiązków dla systemów „wysokiego ryzyka” zacznie obowiązywać w 2026 r.
AI Act opiera się na podejściu typu risk-based, czyli im wyższe ryzyko dla obywatela lub gospodarki, tym bardziej szczegółowe obowiązki dla wytwórców, importerów i użytkowników systemu AI.
W związku z nadchodzącymi regulacjami oraz rosnącymi oczekiwaniami rynku, warto już dziś przygotować się na zmianę w postrzeganiu roli zarządzania sztuczną inteligencją (AI Governance). Coraz częściej traktowane jest ono nie tylko jako obowiązek wynikający z rozporządzenia AI Act, lecz jako wymagany element ładu korporacyjnego i dowód stosowania najlepszych praktyk w relacjach biznesowych - nawet niezależnie od formalnych wymogów.
AI ACT – Kompleksowe Wsparcie od Cybernite
Kategorie ryzyka według AI Act
- Zakazane praktyki - np. masowa identyfikacja biometryczna w miejscach publicznych, manipulacja podświadoma, ocena „zdolności społecznej”
- Systemy wysokiego ryzyka – np. biometria w bankowości, algorytmy rekrutacyjne, AI sterująca infrastrukturą krytyczną czy diagnostyką medyczną
- Systemy ograniczonego ryzyka - chatbot obsługi klienta, generatory obrazów (wymagania dot. przejrzystości tj. informowanie użytkownika, że rozmawia z AI)
- Minimalne ryzyko - np. filtry anty-spam, gdzie brak obowiązków prawnych, a jedyne zalecane są dobre praktyki
Kto podlega pod AI Act?
- Wytwórcy (producenci) modeli i aplikacji AI
- Importerzy / dystrybutorzy wprowadzający system AI na rynek UE
- Użytkownicy zawodowi - banki, szpitale, urzędy, firmy przemysłowe, które eksploatują modele AI we własnych procesach
- Dostawcy usług IT (integratorzy, chmura), gdy system z kategorii high-risk działa pod ich kontrolą
Klient regulowany (np. bank lub urząd) może sklasyfikować Państwa organizację jako „kluczowego dostawcę AI wysokiego ryzyka” i wymusić pełną zgodność, nawet jeśli formalnie Państwa organizacja nie jest bezpośrednio objęta Rozporządzeniem AI Act.
Główne obowiązki dla systemów wysokiego ryzyka
- System zarządzania ryzykiem AI (Risk Management Framework)
- Dokumentacja techniczna i rejestr zmian modelu
- Wysoka jakość i czystość danych treningowych
- Przejrzystość działania i możliwość audytu (traceability)
- Ludzki nadzór nad decyzją algorytmu
- Testy bezpieczeństwa cybernetycznego modelu
- Rejestracja systemu w unijnej bazie wysokiego ryzyka
Kary za nieprzestrzeganie AI Act
- Naruszenie zakazów: do 35 mln EUR lub 7 % globalnego rocznego obrotu
- Naruszenie wymogów dot. systemów wysokiego ryzyka: do 15 mln EUR lub 3 % obrotu
- Błędne lub niepełne informacje dla organu nadzoru: do 7,5 mln EUR lub 1 % obrotu
Sankcje mają być „skuteczne, proporcjonalne i odstraszające”, przy czym organy krajowe (w Polsce UODO wraz z Ministerstwem Cyfryzacji) będą mogły nakładać je samodzielnie.
Jak pomagamy we wdrożeniu AI Act?
- Prowadzimy kompleksowe zarządzanie AI (AI Governance) - obejmujące audyt ryzyka, polityki, procedury i rejestry modeli
- Audytujemy modele i procesy uczenia maszynowego, wskazując luki w zgodności
- Wspieramy tworzenie kompletnej dokumentacji technicznej i raportu oceny zgodności do rejestru UE
- Projektujemy bezpieczną architekturę wdrożenia modeli w chmurze i na miejscu
- Szkolimy zarządy, działy prawne i zespoły data-science z praktycznych wymogów AI Act
- Opracowujemy scenariusze testów bezpieczeństwa modeli (ataki adversarialne, kradzież modelu, prompt hacking)
