EU AI Act, na hrvatskom Akt o umjetnoj inteligenciji, regulativa je Europske unije koja uređuje umjetnu inteligenciju i prvi je sveobuhvatni zakon te vrste na svijetu. Formalno je riječ o Uredbi (EU) 2024/1689, a obveze postavlja prema razini rizika koji pojedini AI sustav nosi. Odnosi se i na tvrtke izvan Europe: svaka organizacija koja AI sustav stavlja na tržište EU-a ili čiji se rezultati AI sustava koriste u Uniji potpada pod njegov doseg. Uvodi se postupno od 2025., a najteže obveze nose visokorizični sustavi, uključujući zahtjeve točnosti, otpornosti i kibernetičke sigurnosti koji se izravno vežu uz sigurnosno testiranje.
Budući da je riječ o uredbi, a ne direktivi, Akt se primjenjuje izravno u svim državama članicama bez nacionalne transpozicije, slično kao GDPR. To mu daje širok i ujednačen doseg. Ovaj tekst objašnjava kako funkcioniraju razine rizika, što moraju ispuniti pružatelji i korisnici visokorizičnih sustava, koji su rokovi i kakve su kazne. Zahtjeve pretvaramo u konkretan inženjerski posao kroz uslugu usklađenosti s EU AI Actom.
Akt je zakon utemeljen na riziku: umjesto da svu umjetnu inteligenciju regulira jednako, sustave razvrstava u razine i primjenjuje obveze razmjerne riziku koji svaka razina nosi za zdravlje, sigurnost i temeljna prava. Najteže obveze odnose se na visokorizične sustave, lakše obveze transparentnosti na neke druge, dok većina svakodnevnih AI sustava nema posebnih obveza. Poseban skup pravila odnosi se na opće namjenske AI modele, velike temeljne modele na kojima se gradi mnogo aplikacija.
Akt definira i uloge. Pružatelj razvija AI sustav ili ga stavlja na tržište; korisnik (deployer) primjenjuje AI sustav u profesionalnom kontekstu. Obveze se razlikuju prema ulozi, a jedna organizacija može biti i jedno i drugo. Utvrđivanje uloge za svaki sustav prvi je korak usklađivanja.
Struktura Akta počiva na četiri razine rizika.
Akt ne pita koristite li umjetnu inteligenciju. Pita što bi vaš AI mogao učiniti ljudima ako zakaže, i prema tome odmjerava obveze.
Ako pružate visokorizični AI sustav, obveze su značajne i trajne. Glavni zahtjevi uključuju sljedeće.
Upravo taj posljednji zahtjev mjesto je gdje se Akt spaja sa sigurnosnim testiranjem. Dokazivanje otpornosti i kibernetičke sigurnosti znači testiranje sustava u protivničkim uvjetima, što je upravo ono što pružaju testiranje sigurnosti AI sustava i, na razini napada, tehnike opisane u tekstu o prompt injectionu.
Akt postavlja posebne obveze pružateljima opće namjenskih AI modela, temeljnih modela na kojima se gradi mnogo aplikacija. Svi pružatelji takvih modela imaju obveze transparentnosti i dokumentacije, uključujući sažetak podataka za treniranje i poštivanje autorskih prava. Modeli koji se ocijene sustavno rizičnima, najsposobniji modeli, nose dodatne obveze poput evaluacije modela, protivničkog testiranja i prijave incidenata. Ako gradite na tuđem temeljnom modelu umjesto da trenirate vlastiti, te obveze prije svega oblikuju modele na koje se možete osloniti.
Akt se primjenjuje u fazama, što organizacijama daje vrijeme za pripremu za teže obveze.
Postupni rokovi prilika su, a ne razlog za odgodu. Ispunjavanje obveza za visoki rizik traje, pa izgradnja upravljanja rizicima, dokumentacije i testiranja sada izbjegava kasniju jurnjavu. Priprema usput podiže i razinu sigurnosti.
Akt svoje obveze podupire visokim kaznama, stupnjevanima prema težini. Kršenje zabrana praksi neprihvatljivog rizika nosi najviše kazne, do 35 milijuna eura ili 7 posto ukupnog godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće. Druga kršenja obveza nose niže, ali i dalje znatne maksimume. Kao i kod GDPR-a, riječ je o gornjim granicama, a stvarna kazna ovisi o naravi i težini, ali razmjer pokazuje da se Akt mora shvatiti ozbiljno.
Akt ne djeluje u izolaciji. Sustavi koji obrađuju osobne podatke istovremeno podliježu GDPR-u, o čemu pišemo u tekstu o zaštiti osobnih podataka, a tvrtke u reguliranim sektorima i NIS2 direktivi, opisanoj u tekstu o NIS2 i Zakonu o kibernetičkoj sigurnosti. Norma ISO/IEC 42001 nudi certificirljiv sustav upravljanja umjetnom inteligencijom, a NIST AI RMF dobrovoljni okvir za upravljanje rizicima. Mnoge organizacije te okvire koriste za strukturiranje posla, a EU AI Act tretiraju kao obvezujući propis koji moraju ispuniti. Usklađivanje svih njih izbjegava dvostruki posao.
Priprema slijedi jasan redoslijed, prilagođen veličini organizacije.
Da. Kao i GDPR, ima izvanteritorijalni doseg. Primjenjuje se na pružatelje koji AI sustave stavljaju na tržište EU-a i na situacije u kojima se rezultati sustava koriste u Uniji, bez obzira na to gdje pružatelj posluje.
Četiri: neprihvatljiv rizik (zabranjene prakse), visoki rizik (najteže obveze), ograničeni rizik (obveze transparentnosti poput obavještavanja o korištenju AI-a) i minimalni rizik (većina AI sustava, bez posebnih obveza). Obveze rastu s razinom.
Visokorizični sustavi moraju postići točnost, otpornost i kibernetičku sigurnost primjerenu svom riziku. Dokazivanje toga znači protivničko testiranje i evaluaciju, gdje testiranje sigurnosti AI sustava daje potrebne dokaze.
Uvodi se postupno od 2025. Zabrane su se primijenile prve početkom 2025., obveze za opće namjenske modele uslijedile su tijekom 2025., a najveći dio obveza za visoki rizik primjenjuje se kroz 2026. i 2027. Pravovremena priprema izbjegava kasniju jurnjavu.
EU AI Act pretvara upravljanje umjetnom inteligencijom iz dobre prakse u zakonsku obvezu, a njegovi se sigurnosni zahtjevi izravno vežu uz testiranje. Ako gradite ili koristite AI koji bi mogao biti visokorizičan, pogledajte našu uslugu usklađenosti s EU AI Actom i dogovorite uvodni razgovor.