EU Akt o veštačkoj inteligenciji (AI Act) je nova regulativa Evropske unije koja menja način upotrebe i razvoja AI tehnologija, s ciljem bezbedne i etički prihvatljive primene. Akt je stupio na snagu 1. avgusta 2024. godine. Za subjekte koji koriste, nabavljaju, uvode ili razvijaju AI sisteme ključno je razumeti koje ih obaveze očekuju i kakve su posledice neusklađenosti.
Obaveze se uvode postepeno u periodu od tri godine, sa punom primenom do avgusta 2027. godine. Poruka institucija EU je nedvosmislena: subjekti sa sedištem u EU, ali i oni van EU na koje se Akt primenjuje zbog eksteritorijalnog dometa, moraju pravovremeno uskladiti svoje procese i AI sisteme kako bi izbegli visoke novčane kazne, u pojedinim slučajevima strože i od kazni koje propisuje GDPR.
Uloge i odgovornosti aktera
EU AI Akt precizno definiše uloge različitih aktera u životnom ciklusu AI sistema. Razumevanje ovih uloga je preduslov za usklađenost i izbegavanje sankcija.
- Developeri/provajderi: stvaraju, isporučuju ili stavljaju AI sisteme na tržište i dužni su da ispune ključne zahteve, uključujući bezbednost, transparentnost i izradu/vođenje tehničke dokumentacije.
- Korisnici (deployeri): sprovode mere transparentnosti i upravljanja rizikom i obezbeđuju da krajnji korisnici budu jasno obavešteni kada stupaju u interakciju sa AI sistemom.
- Uvoznici i distributeri: proveravaju usaglašenost sistema koji ulaze na tržište EU, čuvaju relevantnu dokumentaciju i prijavljuju nadležnim organima uočene nepravilnosti ili rizike.
Akt ima eksteritorijalni domet: obaveze se primenjuju i na subjekte izvan EU, npr. organizacije u Srbiji, ukoliko plasiraju AI modele ili sisteme na tržište EU.
Klasifikacija rizika i obaveze
AI sistemi se razvrstavaju prema nivou rizika, pri čemu svaka kategorija nosi specifične obaveze i potencijalne sankcije.
- Neprihvatljiv rizik: potpuno zabranjene prakse (npr. klasifikacija građana prema društvenom statusu (social scoring) ili manipulativne tehnike, podrazumevaju visoke kazne).
- Visok rizik: sistemi sa značajnim uticajem na bezbednost ili prava pojedinaca (npr. medicinski uređaji, AI u obrazovanju ili zapošljavanju), zahtevaju poštovanje strogih obaveza tokom čitavog životnog ciklusa proizvoda.
- Ograničen rizik: obaveze su prvenstveno usmerene na transparentnost pri korišćenju.
Minimalan rizik: nema obaveznih mera; podstiču se dobrovoljni kodeksi ponašanja.
Praktičan primer: mali startap iz EU koji razvija AI sistem za selekciju kandidata za upis na pravni fakultet potpada pod kategoriju visokog rizika (Aneks III). To podrazumeva ocenu usklađenosti, ispunjenje zahteva transparentnosti i kontinuirani monitoring tokom upotrebe.
Kaznene odredbe: iznosi i logika određivanja
Sankcije su dizajnirane da obezbede doslednu usklađenost na nivou EU. Po uzoru na GDPR, iznos zavisi od vrste povrede, težine prekršaja i veličine organizacije; primenjuje se viši od dva praga, fiksni iznos ili procenat globalnog prometa (uz posebna pravila za MSP).
- Zabranjeni sistemi (neprihvatljiv rizik): do 35 miliona evra ili 7% globalnog prometa.
- Povrede opštih obaveza (visok i ograničen rizik): do 15 miliona evra ili 3% globalnog prometa.
- Davanje lažnih ili obmanjujućih informacija nadležnim organima: do 7,5 miliona evra ili 1% globalnog prometa.
Kazne se mogu izreći svim akterima obuhvaćenim obavezama, provajderima, diployerima, uvoznicima, distributerima, pa čak i nadležnim telima kada deluju kao diployeri.
Mala i srednja preduzeća (MSP/SME) podležu proporcionalno prilagođenom režimu: primenjuje se niži od dva izračunata iznosa (fiksni plafon ili procenat prometa). Čak i tada kazne mogu biti značajan finansijski teret. Primer: ako 3% globalnog prometa iznosi 150.000 evra, a fiksni maksimalni iznos za konkretnu povredu iznosi 15 miliona evra, za MSP se primenjuje niži iznos od 150.000 evra.
Posebna pravila za institucije, tela i agencije EU
Ako EU institucije, tela ili agencije koriste AI sisteme i prekrše obaveze iz Akta, podložne su nižim novčanim kaznama od onih za privatni sektor:
- Zabranjene prakse: do 1,5 miliona evra.
- Ostale povrede obaveza: do 750.000 evra.
Pre donošenja konačne odluke imaju pravo na prigovor. Kazne se uplaćuju u budžet EU, a za sprovođenje postupka i izveštavanje nadležan je Evropski nadzornik za zaštitu podataka (EDPS).
GPAI i modeli sa sistemskim rizikom (GPAISR)
Pored kategorizacije zasnovane na nameni, Akt uvodi režim za opšte-namenske AI modele (GPAI) i GPAI modele sa sistemskim rizikom (GPAISR). Evropska komisija može formalno označiti određene modele kao GPAISR, čime za provajdere nastupaju dodatne obaveze i stroži režim sankcionisanja.
Za provajdere GPAI modela, neispunjavanje obaveza, npr. neobezbeđivanje traženih informacija ili dokumentacije, kao i ometanje pristupa modelima i resursima radi evaluacije, može biti sankcionisano do 15 miliona evra ili 3% globalnog prometa, primenom višeg iznosa.
Sud pravde Evropske unije ima punu nadležnost da preispita odluke o kaznama i može ih poništiti, smanjiti ili povećati.
Kako se pripremiti i umanjiti rizik od kazni
Organizacije koje razvijaju, uvode ili koriste AI sisteme treba blagovremeno da uspostave mehanizme usklađivanja.
Preporučeni koraci:
- Mapiranje uloga i klasifikacija sistema: utvrdite da li delujete kao provajder, diployer, uvoznik ili distributer i identifikujte da li vaši sistemi potpadaju pod režim visokog ili ograničenog rizika.
- Uspostavljanje AI governance okvira: definišite interne politike, odgovornosti i procese evidencije; paralelno razvijajte programe AI pismenosti u skladu sa ulogama i izloženošću riziku.
- Ispunjenje obaveza za visokorizične sisteme: obezbedite upravljanje podacima (kvalitet, reprezentativnost, smanjenje pristrasnosti), pripremite tehničku dokumentaciju, mere transparentnosti i ljudskog nadzora, sprovedite post-market monitoring i budite spremni za interakciju sa nadležnim organima.
- Pravovremeno planiranje: iako postoji tranzicioni period, usklađivanje u poslednjem trenutku povećavaju troškove i rizik neusaglašenosti; preporučuje se angažovanje stručnjaka za AI upravljanje i usaglašenost.
Proaktivan pristup smanjuje verovatnoću kazni, čuva reputaciju i gradi poverenje korisnika i regulatora.
