Akt EU-a o umjetnoj inteligenciji: što poduzeća trebaju znati
Negdje u odjelu financija, jedan alat neprimjetno donosi odluke. Procjenjuje rizik, detektira anomalije i filtrira kandidate. U upotrebi je već mjesecima, gotovo neprimijećen. No, nije posve jasno tko ga je ondje uveo niti tko odgovara za njegove odluke.
Ovo nije hipotetski scenarij. To je obrazac koji se odvija u organizacijama svih veličina i sektora, kako se umjetna inteligencija ugrađuje u svakodnevne operacije brže nego što upravljački okviri mogu pratiti. Godinama su regulatori pažljivo promatrali. Sada su djelovali.
Akt EU-a o umjetnoj inteligenciji stupio je na snagu u kolovozu 2024. Njegove ključne obveze za poduzeća u potpunosti se počinju primjenjivati od kolovoza 2026. Po prvi put, umjetna inteligencija više nije samo tehnološko pitanje nego i pitanje usklađenosti, a za mnoge organizacije, najneugodnije otkriće neće se odnositi na sustave koje su svjesno uvele. Radit će se o onima koje su zaboravile nadzirati.
Akt se provodi fazno: odredbe o zabranjenim praksama umjetne inteligencije primjenjuju se od veljače 2025.; pravila za modele opće namjene (GPAI) od kolovoza 2025.; a većina ostalih obveza od kolovoza 2026., uz neke produljene rokove do 2027. Smjer je jasan, a vrijeme za pripremu se skraćuje.
Ukratko o regulatornom okviru
Akt o umjetnoj inteligenciji uspostavlja pristup temeljen na riziku, klasificirajući sustave umjetne inteligencije u kategorije u rasponu od minimalnog do visokog rizika, sa strožim zahtjevima za sustave koji mogu značajno utjecati na odluke ili pojedince.
Okvir uključuje četiri kategorije:
- neprihvatljiv rizik - zabranjeni sustavi
- sustavi visokog rizika - podliježu najstrožim obvezama
- sustavi ograničenog rizika - podliježu zahtjevima transparentnosti
- sustavi minimalnog rizika - bez posebnih obveza
Zabranjeni sustavi uključuju prakse poput određenih oblika društvenog bodovanja i manipulativne AI koja može uzrokovati štetu. Te zabrane već su na snazi.
Važno je naglasiti da se regulativa ne odnosi samo na razvijatelje, već i na poduzeća koja koriste AI sustave u svom poslovanju, bez obzira na to jesu li rješenja razvijena interno ili nabavljena od trećih strana. Akt razlikuje pružatelje (razvijatelje koji stavljaju AI na tržište), korisnike (poduzeća koja koriste AI sustave), uvoznike i distributere, svatko s posebnim, ali međusobno povezanim obvezama.
Ako vaše poduzeće koristi AI u bilo kojem obliku, Akt vas smatra reguliranim subjektom.
Utjecaj na poduzeća
Odgovornost za uporabu AI-ja
Poduzeća koja koriste AI prema Aktu se klasificiraju kao korisnici, a s tom klasifikacijom dolazi i jasan skup odgovornosti. Korisnici moraju razumjeti kako njihovi AI alati funkcioniraju, procijeniti rizike koje uvode i osigurati da se koriste u skladu s uputama pružatelja.
To je posebno relevantno u financijama, ljudskim resursima i poslovnim procesima, područjima u kojima je AI najčešće uključen u značajne odluke. Procjena kreditne sposobnosti, otkrivanje prijevara i automatizirani odabir kandidata zahtijevaju pažljiv nadzor prema novom okviru.
Ključno je da ljudski nadzor nije opcionalan. Kada AI utječe na značajne odluke, moraju postojati odgovarajući mehanizmi za pregled, osporavanje i poništavanje tih odluka.
Zahtjevi upravljanja i kontrole
Kada su AI sustavi klasificirani kao visokorizični, poduzeća moraju uvesti strukturirane kontrole. One uključuju:
- postupke upravljanja rizikom
- pouzdane i visokokvalitetne ulazne podatke
- dokumentaciju i sljedivost
- mehanizme ljudskog nadzora
- kontinuirano praćenje performansi
Za pružatelje, ove obveze dodatno uključuju ocjenjivanje sukladnosti i CE označavanje prije stavljanja visokorizičnih sustava na tržište.
Korisnici imaju manje formalnih obveza, ali i dalje moraju pratiti performanse, voditi relevantnu evidenciju i osigurati da uporaba AI-ja ostane unutar predviđene svrhe. U praksi to znači potrebu za strukturiranim okvirima upravljanja umjetnom inteligencijom, ne kao birokratskim dodatkom, već kao operativnom nužnošću.
Povećana regulatorna izloženost
Nepoštivanje propisa nosi značajne financijske posljedice. Akt uvodi stupnjevite kazne:
- do 35 milijuna eura ili 7% globalnog godišnjeg prometa za kršenja povezana sa zabranjenim praksama
- niže pragove za druge vrste neusklađenosti
Osim kazni, poduzeća se suočavaju s reputacijskim rizikom ako propusti povezani s AI-jem postanu javni, osobito kada su uključeni podaci o korisnicima ili odluke o zapošljavanju. Regulatorni, medijski i javni interes za ovo područje i dalje raste.
Umjetna inteligencija opće namjene (GPAI)
Akt uvodi posebne obveze za modele umjetne inteligencije opće namjene, velike jezične modele i slične sustave koji se sve više ugrađuju u poslovne alate, uredske pakete i aplikacije usmjerene prema korisnicima.
Pružatelji takvih modela moraju ispuniti zahtjeve transparentnosti: dokumentirati podatke za treniranje, objaviti mogućnosti i ograničenja te poštovati pravo EU-a o autorskim pravima. Dodatne obveze primjenjuju se na modele klasificirane kao sustavno rizične.
Za poduzeća to otvara praktično pitanje: znate li koji GPAI sustavi djeluju unutar vaše organizacije i tko je odgovoran za njihovo upravljanje?
Praktična razmatranja
Priprema ne mora biti preopterećujuća, ali mora biti promišljena. U praksi bi organizacije trebale:
- identificirati AI sustave koji se koriste u svim poslovnim procesima
- procijeniti njihovu regulatornu klasifikaciju prema Aktu
- pregledati okvire upravljanja i interne kontrole
- surađivati s pružateljima kako bi razumjele odgovornosti za usklađenost
- uključiti međufunkcionalne timove - financije, IT, pravne i odjele za usklađenost
- provesti formalni popis AI sustava i mapiranje rizika
- napraviti analizu razlika u odnosu na zahtjeve Akta
- pregledati ugovore s dobavljačima AI-ja radi jasnih obveza usklađenosti
- uspostaviti interne politike i smjernice za uporabu AI-ja
Rana procjena nije samo preporučljiva, ona čini razliku između proaktivnog upravljanja usklađenošću i reakcije pod pritiskom.
Zaključak
Akt o umjetnoj inteligenciji ne traži od poduzeća da prestanu koristiti umjetnu inteligenciju. Traži da preuzmu odgovornost za nju.
To je, na mnogo načina, razuman zahtjev. Ista razina strogoće koju organizacije primjenjuju na financijske kontrole, zaštitu podataka i operativne rizike sada se mora primijeniti i na AI sustave koji donose značajne odluke u njihovo ime. Akt samo formalizira ono što bi dobro upravljanje ionako zahtijevalo.
Pitanje nije koristi li vaša organizacija AI. Gotovo sigurno koristi. Pitanje je znate li koji sustavi, koje rizike nose i tko je odgovoran kada nešto pođe po zlu.
Organizacije koje na ta pitanja odgovore sada, promišljeno i sustavno, neće biti samo usklađene s propisima. Bit će bolje upravljane, bolje zaštićene i bolje pozicionirane za dugoročnu korist od inovacija potaknutih umjetnom inteligencijom.
Akt nije kraj umjetne inteligencije u poslovanju. On je početak pravilne uporabe umjetne inteligencije.
Contact
Drago Cmuk Partner, Digitalno savjetovanje - Zagreb
Revizija i uvjerenje
Neovisnost koja pruža povjerenje i transparentnost za dionike i društvo
Digitalno savjetovanje
We help you bring your company to the next level with an effective digital strategy enabled by agile culture transformation