Poszczególne przepisy mają vacatio legis: 6 miesięcy (dla zastosowań zakazanych), 9 miesięcy (dla kodeksów postępowania), 12, 24 lub nawet 36 miesięcy dla pozostałych przepisów. Bo też wymogi AI Act nakładają na firmy, instytucje i organizacje liczne i dość obciążające obowiązki. W dodatku sztuczna inteligencja to z perspektywy regulacyjnej zjawisko nowe, więc i wymogi różnią się od tego, do czego podmioty sektora FinTech zdążyły się przyzwyczaić.
Spośród unijnych regulacji wdrożenie AI Act najbardziej będzie chyba przypominać RODO, ponieważ nie dotyczy konkretnej branży ani określonego typu usług, ale wszystkich firm, instytucji i organizacji, które w swojej działalności wykorzystują sztuczną inteligencję.
AI Act – jakie wymogi i ograniczenia?
Ogólną zasadą AI Act jest podział zastosowań sztucznej inteligencji ze względu na skalę ryzyka. Na jednym końcu skali znalazły się zastosowania, które tworzą ryzyko uznane za niedopuszczalne i w związku z tym zostały one zakazane, na drugim końcu – systemy o niskim ryzyku, które muszą spełniać minimalne wymogi. Sektor FinTech zdecydowanie jest branżą, dla której AI Act będzie oznaczał nowe obowiązki, bo jest sektorem innowacyjnym, a więc w korzystaniu z AI również jest i pozostanie w awangardzie.
W krajach Unii Europejskiej zakazane zostało korzystanie z systemów sztucznej inteligencji uważanych za zagrożenie dla ludzi i naruszających ich fundamentalne prawa. Chodzi między innymi o kategoryzację biometryczną opartą na cechach określanych jako wrażliwe, o systemy masowej identyfikacji biometrycznej, takie jak np. rozpoznawanie twarzy służące tworzeniu baz danych, systemy rozpoznawania emocji w szkołach i instytucjach edukacyjnych, scoring (klasyfikacja punktowa) obywateli na podstawie ich zachowań, statusu społecznego lub cech osobistych, a także systemy służące manipulowaniu ludzkim zachowaniem oraz wykorzystaniu podatności określonych grup na manipulację. Przykładem tego ostatniego mogą być zabawki aktywowane głosem, które zachęcają dzieci do niebezpiecznych zachowań.
AI Act jako wyjątki od zakazu korzystania z takich systemów określił natomiast zastosowania służące egzekwowaniu prawa i ściganiu przestępstw, choć i tutaj nie bez ograniczeń.
Duże wymogi dla systemów wysokiego ryzyka
Za systemy sztucznej inteligencji tworzące wysokie ryzyko uznano takie, które mogę stanowić istotne zagrożenie dla zdrowia, bezpieczeństwa, podstawowych praw obywateli, środowiska, demokracji i praworządności. Firmy i instytucje korzystające z takich systemów będą musiały spełniać restrykcyjne wymogi i przestrzegać szeregu nowych zasad. Początkiem procesu dostosowania do AI Act będzie ocena wpływu systemów AI wykorzystywanych przez firmę lub instytucję na przestrzeganie podstawowych praw obywateli oraz przepisów o ochronie danych osobowych.
Systemy wysokiego ryzyka będzie należało także rejestrować w centralnej bazie prowadzonej na poziomie Unii Europejskiej. Obowiązkowe będzie też wdrożenie procedur zarządzania ryzykiem i jakością w zakresie korzystania z systemów wysokiego ryzyka. Na tym nie koniec – wymagane będzie również zapewnienie transparentności, a więc informowanie użytkowników, że korzystają z systemów opartych na sztucznej inteligencji. Wprowadzono też obowiązek zapewnienia nadzoru ludzkiego oraz wdrożenia zasad w zakresie dokładności, sprawnego działania i oczywiście cyberbezpieczeństwa.
AI Act nie podaje kompletnego katalogu branż, które będą musiały stosować się do zasad wymaganych dla systemów wysokiego ryzyka. Z pewnością będzie chodziło o usługi medyczne, zarządzanie infrastrukturą krytyczną, zasobami ludzkimi i rekrutacją. Czy systemy AI wykorzystywane teraz i w przyszłości w sektorze finansowo-technologicznym znajdą się w tej, czy w następnej kategorii, dla której wymogi będą niższe?
Katalog systemów wysokiego ryzyka zawiera pojęcie „dostępu do i korzystania z podstawowych usług prywatnych”, które można interpretować na wiele sposobów. Jak zaklasyfikować np. scoring kredytowy oparty na adresie zamieszkania czy wieku użytkownika, działający w oparciu o big data, co wypełnia kryteria sztucznej inteligencji w oparciu o standard OECD przyjęty przez UE? Ostateczne rozstrzygnięcia, do której kategorii należą konkretne systemy AI, będą więc wymagać analiz na gruncie prawnym i compliance.
A co z generatywną sztuczną inteligencją i ChatGPT?
Pod tym pojęciem kryje się przede wszystkim stosowanie sztucznej inteligencji do tworzenia treści tekstowych, graficznych czy audio-video, czyli np. ChatGPT. Takich systemów dotyczyć będzie po pierwsze wymóg przejrzystości. Chodzi o poinformowanie użytkownika, że dana treść została wygenerowana przez sztuczną inteligencję. Na poziomie projektowania systemu trzeba również zadbać, aby nie generował on treści nielegalnych. Do tego dochodzi kwestia zgodności z obowiązującymi w EU przepisami dotyczącymi praw autorskich. AI Act mówi również o wymogu posiadania dokumentacji technicznej, co w dobie „agile” może być kłopotliwe.
AI Act zastrzega dodatkowo szczególne wymogi dla systemów ogólnego przeznaczenia o dużym zasięgu oddziaływania, jak np. GPT-4. Będą one musiały poddawać się szczegółowej ocenie pod względem funkcjonowania modelu, analizy ryzyka, przeprowadzać regularne testy i zgłaszać wszelkie poważne incydenty Komisji Europejskiej.
Ciekawym wymogiem jest także raportowanie w zakresie efektywności energetycznej – wymagane w przypadku dużych systemów, których działanie jest energochłonne.
Systemy sztucznej inteligencji o ograniczonym ryzyku i niewielkim zasięgu będą musiały informować użytkowników, że wchodzą oni w interakcję ze sztuczną inteligencją. Dzięki temu użytkownicy będzie w stanie sami zdecydować, czy chcą z nich korzystać. Będzie to obejmowało systemy generujące obrazy, treści audio-video, w tym również tzw. deep-fake, czyli łudząco realistyczne animacje.
Co AI Act oznacza dla biznesu?
Unijni regulatorzy podzielili zastosowania AI na niebezpieczne lub naruszające prawa osobiste obywateli, które (z pewnymi wyjątkami), zostały zakazane, potencjalnie ryzykowne, których użycie obwarowane zostało obowiązkiem spełniania określonych wymogów, oraz ogólnego zastosowania i o ograniczonym ryzyku, w przypadku których głównym obowiązkiem jest informowanie użytkowników, że korzysta z rozwiązań opartych na sztucznej inteligencji.
Na dużym poziomie ogólności brzmi to prosto i logicznie, ale tu dopiero zaczyna się praca, którą będą teraz musiały wykonać wszystkie podmioty korzystające z AI – począwszy od określenia, w której grupie się znajdują i jakie wynikają z tego obowiązki. Nie zawsze będzie to proste.
AI Act oznacza – nie bójmy się tego powiedzieć – dużo biurokracji. Firmy i instytucje muszą zacząć od zmapowania procesów pod kątem zastosowań sztucznej inteligencji. Następnym krokiem będzie ustalenie, do jakiej grupy ryzyka należą poszczególne zastosowania. Dopiero wtedy będzie można ocenić poziom zgodności z nowymi wymogami. Można z góry założyć, że poziom ten raczej w żadnym przypadku nie będzie stuprocentowy, ponieważ większość wymogów zawartych w AI Act dotychczas nie obowiązywała. Następnym zadaniem będzie stworzenie w ramach firmy strategii zarządzania zgodnością z przepisami dotyczącymi AI, uwzględniającej oczywiście dostawców i podwykonawców.
Zapowiada się mnóstwo pracy dla firm, prawników i ekspertów compliance.
Co z innowacyjnością Europy?
Regulatorzy dostrzegli na szczęście, że skomplikowane wymogi regulacyjne stanowią zagrożenie dla innowacyjności Unii Europejskiej. W odpowiedzi na to AI Act umożliwia tworzenie na poziomie krajowym tzw. „piaskownic regulacyjnych” oraz testowanie w praktyce nowych rozwiązań. Wymaga to jednak szybkiego działania władz państwowych, aby takie rozwiązania zaprojektować i wdrożyć.
Przepisy AI Act wejdą w życie za dwa lata, ale niektóre przepisy zaczną obowiązywać już za 6, 9 lub 12 miesięcy, a część wymogów dopiero za 3 lata. Nieprzestrzeganie ich zagrożone będzie karą od 7,5 mln EUR (lub 1,5% przychodu) do 35 mln EUR (lub 7% przychodu).