Nadzorując Przyszłość. Kluczowe aspekty Aktu o Sztucznej Inteligencji

Współautorami tekstu są:

• Maciej Bisch, Manager EY Law,
• Szymon Skalski, Associate EY Law

Prace legislacyjne

Prace nad stworzeniem unijnych regulacji dotyczących AI rozpoczęły się w 2018 r., kiedy to opublikowano unijną strategię w sprawie sztucznej inteligencji. W toku dalszych działań organów UE w lutym 2020 r. została opublikowana Biała Księga w sprawie sztucznej inteligencji, w październiku 2020 r. Rezolucja Parlamentu Europejskiego w sprawie systemu odpowiedzialności cywilnej za sztuczną inteligencję, natomiast w kwietniu 2021 r. – projekt Rozporządzenia o AI. Od tego czasu trwają dyskusje na szczeblu unijnym mające na celu uzgodnienie ostatecznej wersji AI Act – pierwsze porozumienie w tym zakresie zostało zawarte w grudniu 2022 r. Porozumienie to jednak nie doprowadziło do uzgodnienia ostatecznego tekstu Rozporządzenia; podjęto zatem dalsze negocjacje, które zakończyły się zawarciem kolejnego porozumienia w grudniu 2023 r. W lutym 2024 r. została opublikowana treść Rozporządzenia o AI uwzględniająca zawarte porozumienie.

Rozporządzenie o AI zostało uchwalone przez Parlament 13 marca 2024, natomiast 19 kwietnia opublikowano tekst corrigendum, który zawiera poprawki względem uchwalonego tekstu. Aktualnie oczekujemy na przyjęcie rozporządzenia przez Radę UE – jeżeli to nastąpi, rozporządzenie zostanie opublikowane w Dzienniku Urzędowym UE, po czym wejdzie w życie (20 dni po opublikowaniu).

Rozporządzenie o sztucznej inteligencji jest przykładem zaangażowania UE w stworzenie zharmonizowanych przepisów dotyczących wprowadzania na rynek i stosowania systemów AI we wszystkich krajach członkowskich. Ma ono na celu wspieranie odpowiedzialnego rozwoju tej przełomowej technologii przy jednoczesnym zminimalizowaniu ryzyk z nią związanych, w szczególności poprzez zapewnienie prywatności użytkowników, zapobieganie dyskryminacji i zagwarantowanie ochrony podstawowych praw obywateli UE.

Harmonogram wdrożenia

Rozporządzenie o sztucznej inteligencji wyznacza rozbudowany, szczegółowy terminarz wdrożenia wymogów dla systemów AI w zależności od charakterystyki systemu.

Zakazane systemy AI zostaną objęte przepisami Rozporządzenia w ciągu 6 miesięcy od jego wejścia w życie, podczas gdy przepisy dotyczące systemów AI ogólnego przeznaczenia zaczną obowiązywać 12 miesięcy od wejścia w życie AI Act. Do systemów AI wysokiego ryzyka przepisy rozporządzenia będą miały zastosowanie po upływie 24 miesięcy od jego wejścia w życie, natomiast do systemów sztucznej inteligencji wysokiego ryzyka objętych istniejącymi przepisami UE dot. bezpieczeństwa produktów – po upływie 36 miesięcy.

Co do zasady, AI Act obejmuje systemy wprowadzone na rynek po dacie jego wejścia w życie. Jednak możliwe jest objęcie przepisami rozporządzenia również takich systemów, które zostały wprowadzone na rynek przed tą datą, jeżeli po wejściu w życie AI Act podlegały istotnym modyfikacjom.

Cel regulacji i najważniejsze przepisy

Istotą rozporządzenia o sztucznej inteligencji jest, po pierwsze, zakazanie wykorzystywania AI w sposób, który w ocenie organów UE wiąże się z nieakceptowalnym ryzykiem naruszenia podstawowych praw osób fizycznych, tj. poprzez wykorzystywanie systemu identyfikacji biometrycznej przez organy ścigania (z pewnymi wyjątkami), stosowanie scoringu społecznego przez państwa członkowskie czy też wdrażanie sztucznej inteligencji, która wykorzystywałaby lub manipulowała użytkownikami określonych kategorii, bardziej narażonych na skutki takich działań. Po drugie, założeniem AI Act jest określenie zasad odpowiedzialności poszczególnych podmiotów uczestniczących w procesie tworzenia, oferowania i wykorzystywania systemów AI. W tym zakresie największy ciężar będzie spoczywał na dostawcy systemu (ang. provider), natomiast również podmiot wdrażający system (ang. deployer) będzie obarczony pewnymi obowiązkami. Należy jednak mieć na uwadze, że katalog okoliczności, w których podmiot może stać się dostawcą systemu w rozumieniu AI Act jest bardzo szeroki. Zagadnienia te omówimy bardziej szczegółowo w kolejnych artykułach.

Warto podkreślić, iż niedostosowanie się do nowych obowiązków wynikających z AI Act będzie mogło skutkować nałożeniem bezprecedensowo wysokich kar administracyjnych, wynoszących od 7,5 mln euro lub 1,5% obrotu do aż 35 mln euro lub 7% globalnego obrotu – w zależności od naruszonego obowiązku. Oznacza to kary wielokrotnie wyższe niż te, które przewiduje np. RODO.

W naszej ocenie, bazując na doświadczeniach naszych Klientów, w szczególności dużych podmiotów działających na rynku finansowo-bankowym, 2-letni termin na dostosowanie się organizacji do tak obszernej i przekrojowej regulacji, jaką jest AI Act, jest terminem stosunkowo krótkim. Dlatego też rekomendujemy rozpoczęcie już teraz przygotowań zmierzających do zapewnienia zgodności z nowymi przepisami. Poszczególne działania, jakie naszym zdaniem należy podjąć w tym celu opiszemy w kolejnych artykułach, natomiast już w tym miejscu pragniemy podkreślić, iż zmiany będą obejmować całą organizację i będą wymagały zaangażowania wielu komórek organizacyjnych, stworzenia nowych funkcji i procesów.

Rozporządzenie o sztucznej inteligencji kładzie nacisk na uregulowanie przepisami w pierwszej kolejności tych sposobów zastosowania AI, z którymi wiąże się wysokie ryzyko, jednakże obejmuje swoim zakresem również niektóre systemy, które nie zostały zakwalifikowane jako systemy wysokiego ryzyka, w szczególności tzw. generatywną sztuczną inteligencję (tj. systemy, które generują lub manipulują treściami w formie tekstu, obrazów, wideo czy dźwięku) czy też systemy AI, które wchodzą w bezpośrednią interakcję z osobami fizycznymi – zastosowanie takich systemów będzie wymagało spełnienia pewnych obowiązków związanych z przejrzystością oraz ograniczających możliwość naruszania praw autorskich osób trzecich.

Mając na uwadze definicję systemów AI wysokiego ryzyka należy stwierdzić, iż w szczególności podmioty działające w sektorach ściśle regulowanych, takich jak sektor finansowo-bankowy, energetyczny, medyczny czy edukacji, muszą nadać priorytet swoim wysiłkom w zakresie zapewnienia zgodności z przygotowywanym AI Act. Również małe i średnie przedsiębiorstwa powinny rozpocząć ocenę potencjalnego ryzyka swoich działań związanych ze sztuczną inteligencją, w szczególności, jeżeli zamierzają oferować swoje usługi podmiotom z sektorów regulowanych.

Konieczne zmiany w zarządzaniu ICT w sektorze finansowym

Rozporządzenie o sztucznej inteligencji to znacznie więcej niż zbiór ogólnych zasad – ustanowi ono bowiem nowy model zarządzania systemami AI i nadzoru nad nimi. Model ten będzie w kolejnych miesiącach i latach uszczegóławiany przez właściwe organy unijne. Duże znaczenie w tym zakresie będą miały również standardy rynkowe, które już dziś podejmują problematykę zarządzania ryzykiem związanym z rozwojem i wykorzystywaniem systemów AI. Dla sektora finansowego dodatkowo kluczowe będzie zwrócenie uwagi na to jakie relacje zachodzą między przepisami Rozporządzenia o sztucznej inteligencji a innymi regulacjami dotyczącymi instytucji finansowych – zarówno unijnymi, jak i krajowymi. Na poziomie unijnym, kluczowa będzie oczywiście relacja AI Act z DORA (Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego).

Rozporządzenie o sztucznej inteligencji nakazuje zapewnienie cyberbezpieczeństwa systemów AI, jednak w niewielkim stopniu wyjaśnia, co przez to należy rozumieć. Dla podmiotów sektora finansowego kluczowe będzie zatem sięgnięcie do przepisów DORA w procesie zapewnienia poziomu bezpieczeństwa właściwego dla systemów informatycznych wykorzystywanych w sektorze finansowym. W zakresie regulacji krajowych wskazać należy przede wszystkim na rekomendacje KNF. W szczególności, zwrócić należy uwagę na dostosowanie sposobu wdrożenia Rekomendacji D, dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowisk teleinformatycznych do charakteru systemów sztucznej inteligencji. Warto zwrócić również uwagę na sposób wdrożenia rekomendacji J i rekomendacji W, które dotyczą kolejno zasad gromadzenia i przetwarzania przez banki danych o nieruchomościach, oraz zarządzania ryzykiem modeli. W związku z wejściem w życie AI Act konieczna będzie szczegółowa analiza wymogów wynikających z Rekomendacji KNF pod kątem zgodności z regulacjami unijnymi oraz monitorowanie na bieżąco wdrażanych zmian.

Zważywszy na globalny charakter sektora finansowego, konieczne będzie również zwrócenie uwagi na inicjatywy legislacyjne podejmowane w krajach spoza UE. Biorąc pod uwagę obecne tendencje, zapowiedzi poszczególnych państw oraz podejmowane przez nie inicjatywy prawodawcze, najbardziej prawdopodobnym scenariuszem jest powstanie kilku równoległych reżimów prawnych dla AI i niekoniecznie będą się one opierały na takich samych założeniach jak unijne Rozporządzenie o sztucznej inteligencji. Dla sektora finansowego będzie to stanowić niewątpliwe duże wyzwanie.

Podsumowanie

Rozporządzenie o sztucznej inteligencji będzie przełomową regulacją, która ustanawia pierwsze na świecie kompleksowe zasady opracowywania, wdrażania i stosowania rozwiązań opartych na AI. Mając na względzie uchwalenie rozporządzenia przez Parlament Europejski, wydaje się że znajdujemy się aktualnie w przededniu jego wejścia w życie. Rekomendujemy zatem już teraz rozpocząć aktywne przygotowania do jego wdrożenia, aby zawczasu odpowiedzieć na nowe wyzwania prawne i wypełnić dodatkowe obowiązki.

Zachęcamy do śledzenia kolejnych artykułów, w których przedstawimy różne obszary wymagające dostosowania do przepisów AI Act, przede wszystkim kluczowe dla podmiotów z branży FinTech,