Parlamentul European a aprobat miercuri AI Act, respectiv normele europene pentru reglementarea inteligenței artificiale. Europa mai are astfel doar un pas pentru a adopta în premieră reguli pentru inteligența artificială.
Se așteaptă ca AI Act să fie adoptat oficial ca lege până în mai sau iunie, după care dispozițiile sale vor fi puse în aplicare în etape. După 6 luni, țările vor fi obligate să interzică anumite sisteme de inteligență artificială. După un an, vor începe să se aplice norme pentru sistemele de inteligență artificială de uz general, iar doi ani mai târziu, în 2026, întreaga lege privind inteligența artificială va fi aplicabilă.
Legea UE privind inteligența artificială se va aplica tuturor părților implicate în dezvoltarea, implementarea și utilizarea inteligenței artificiale. Prin urmare, se aplică în diverse sectoare și se va aplica, de asemenea, celor din afara UE, dacă produsele sunt destinate a fi utilizate în UE.
Pași pentru companii
Economedia explică în acest articol ce înseamnă AI Act pentru o companie, cui i se va aplica și ce trebuie să facă un business care dezvoltă sau folosește inteligența artificială pentru a se conforma reglementărilor acestei legislații.
Pasul 1: Determinați rolul companiei în lanțul valoric al IA. Diferiți actori ocupă roluri diferite în lanțul valoric al IA. Legea privind IA reglementează mai multe roluri-cheie, inclusiv furnizorii, implementatorii, distribuitorii, producătorii și importatorii de sisteme de IA.
Pasul 2: Determinați nivelul de risc al sistemului de IA al companiei. Legea privind IA clasifică sistemele de IA în funcție de nivelul de risc pe care îl prezintă.
AI Act stabilește patru categorii de risc pentru inteligența artificială, respectiv:
Sisteme de IA cu risc inacceptabil: acestea vor fi interzise. De exemplu în cazul încălcării drepturilor fundamentale. Acestea cuprind sisteme care utilizează scoruri sociale bazate pe IA, sisteme de identificare biometrică la distanță „în timp real” în spații publice pentru aplicarea legii, cu anumite excepții, tehnici subliminale de perturbare a comportamentului oamenilor pentru a provoca prejudicii, clasificarea biometrică bazată pe caracteristici sensibile, cu anumite excepții, poliție predictivă individuală. extragerea fără scop precis a imaginilor faciale de pe internet sau de pe camerele de supraveghere video, recunoașterea emoțiilor în instituțiile de învățământ și la locul de muncă, cu anumite excepții.
Sisteme de inteligență artificială cu risc ridicat: cele care prezintă un risc ridicat pentru sănătatea, siguranța și drepturile fundamentale ale cetățenilor. Acestea nu depind doar de funcție, ci și de scopul și modalitățile specifice pentru care este utilizat sistemul de IA. Acestea se încadrează în două sisteme, respectiv cele care intră sub incidența legislației UE privind siguranța produselor (inclusiv jucării, mașini, dispozitive medicale, de exemplu) și cele care sunt utilizate în identificarea biometrică, clasificarea persoanelor și recunoașterea emoțiilor (din motive medicale sau de siguranță), infrastructuri critice, formare educațională și profesională, componente de siguranță ale produselor, ocuparea forței de muncă, servicii și beneficii publice și private esențiale, evaluarea și clasificarea apelurilor de urgență, aplicarea legii, controlul frontierelor și administrarea justiției și a proceselor democratice.
Sisteme IA cu risc limitat: Unele sisteme de inteligență artificială trebuie să respecte cerințe specifice de transparență atunci când există riscuri clare de manipulare pentru a permite utilizatorilor să ia decizii în cunoștință de cauză atunci când interacționează cu inteligența artificială, cum ar fi cu chatbots. În plus, Legea UE privind IA abordează riscurile sistemice care vin cu modele de IA de uz general, cum ar fi modelele mari de IA generativă (ChatGPT, Gemini, de exemplu). Aceste sisteme pot fi utilizate pentru o varietate de sarcini și devin din ce în ce mai mult fundamentale în sistemele de IA din UE.
Risc minim: Dezvoltarea și utilizarea fără restricții a IA cu risc minim se supun legislației existente și sunt permise fără obligații suplimentare, ceea ce cuprinde majoritatea sistemelor de IA utilizate în prezent în UE. Aceste sisteme cuprind aplicații precum jocurile video cu inteligență artificială și filtrele de spam.
Dragoș Tudorache, raportor al Parlamentului European pentru Legea privind Inteligența Artificială, a declarat pentru Economedia că, de fapt, o mare parte din inteligența artificială de pe planetă rămâne în continuare nereglementată, pentru că nu este în zona de risc.
„Este o zonă uriașă de AI care rămâne complet nereglementată, pentru că nu are niciun fel de impact asupra drepturilor individuale ale cetățenilor sau pentru interesele societății. 80-85% din AI nu va fi atins de reglementare, pentru că de exemplu optimizează procese de producție, folosește date satelitare pentru agricultură smart, pentru monitorizare pârâuri etc.”, spune el.
Pasul 3: Determinați obligațiile de reglementare ale companiei. Pentru a determina domeniul de aplicare a obligațiilor de reglementare care se aplică companiei, suprapuneți rolul companiei în lanțul valoric al IA cu categoria de risc a companiei. Intersecția dintre aceste două categorii va determina obligațiile de reglementare ale companiei. De exemplu, dacă sunteți un furnizor (rol) al unui sistem de inteligență artificială cu risc ridicat (nivel de risc), veți avea o anumită listă de obligații legale în temeiul Legii privind IA, care este diferită de cele care se aplică furnizorilor de inteligență artificială cu risc ridicat sau furnizorilor de sisteme cu risc inacceptabil.
Pot apărea situații mai complicate. O singură companie poate juca mai multe roluri sau poate furniza sau implementa mai multe sisteme de inteligență artificială care prezintă diferite tipuri de risc, devenind astfel supusă mai multor seturi diferite de cerințe legale. De exemplu, o companie tehnologică care creează și vinde un instrument de învățare automată pentru analiza datelor ar fi un furnizor, dar, în același timp, ar putea aplica astfel de instrumente în cadrul companiei în calitate de implementator și ar putea modifica instrumentele implementate pentru a ajuta la cernerea cererilor de recrutare (un caz de utilizare cu risc ridicat). Compania de tehnologie ar trebui să asigure conformitatea cu obligațiile legale aplicabile ambelor roluri și la diferite niveluri de risc.
În cele din urmă, o companie care nu a dezvoltat inițial un sistem de inteligență artificială ar putea fi considerată un furnizor cu risc ridicat în anumite circumstanțe, de exemplu, dacă aduce anumite modificări sau își plasează numele sau marca comercială pe un sistem de inteligență artificială existent cu risc ridicat.
Dragoș Tudorache explică, procedural, pașii pentru o companie. Întâi de toate, o companie trebuie să stabilească axa de responsabilitate pe lanțul valoric și riscul AI-ului pe care îl implementează. De exemplu, dacă compania este dezvoltator al sistemelor de inteligență artificială sau utilizator al tehnologiilor de inteligență artificială și dacă acestea sunt în zonele de risc sau nu.
Pe lanțul valoric, o companie poate fi dezvoltator, care dezvoltă aplicația și o pune pe piață. „Aici există responsabilități și compania trebuie să treacă prin condițiile și obligațiile impuse de lege”, spune Tudorache.
Sau, compania poate fi utilizator, în sensul în care preia un model de AI de la altă companie, îl antrenează cu datele proprii, pentru scopul propriu. „Dacă duc scopul către zonele de risc, atunci responsabilitatea se mută la mine, companie care aplică și implementează aplicația respectivă. Dezvoltatorul trebuie doar să-mi dea informația de care am nevoie pentru a-mi face treaba, dar responsabilitatea se mută la mine cel care o implementează”, explică raportorul.
De asemenea, el spune că unele aplicații pot să nu intre sub incidența legii, chiar dacă sunt în zone de risc, precum banking, de exemplu. „Dacă dezvolt AI din zona de risc, banking, asigurări, sisteme critice pentru infrastructură critică, migrație, frontieră, securitate, acestea sunt zonele de risc, pentru acestea regulile se aplică. Dar chiar și în acest caz, există articolul 6 din regulament care vorbește de risc semnificativ. De exemplu, chiar și în zona de banking, dacă instrumentul meu de AI nu este unul care să aducă un risc semnificativ – nu este cel care face recomandări de credit, care alege cine primește credit sau nu, ci este cel care caută riscul de fraudă sau care face altceva care nu are de-a face cu drepturile unei persoane – nu intră în incidența legii”, explică Dragoș Tudorache.
În plus, raportorul spune că legea a fost creată pentru a putea fi implementată ușor inclusiv de către companiile mici. Astfel, au fost introduse pârghii pentru a ajuta companiile și pentru a coborî mult costul de conformare, în special pentru a ajuta companiile mici.
„Mergem pe autoevaluare. Nu trebuie să te duci la un consultant sau la un avocat care să te ajute să te conformezi, ci o vei face singur. Organismele europene trebuie să scoată standarde tehnice pentru toată lumea, care vor ajuta companiile să facă această autoevaluare”, spune Tudorache.
Iar pentru companiile care nu sunt sigure, chiar și după autoevaluare și standardele tehnice, legea propune obligatoriu crearea de „sandboxuri”, chiar la nivel municipal. Acestea sunt medii controlate de testare în care companiile să vadă dacă sistemele lor de AI se conformează regulilor europene. „Sunt gândite ca spații în care o companie nesigură poate să își valideze premisele de dezvoltare, seturile de date, poate să facă greșeli acolo. În aceste sandboxuri, autoritatea competentă nțaională trebuie să pună reprezentanți care să ajute companiile în testările și evaluările pe care le face pentru a atinge nivelurile de conformare. Autoritățile trebuie să pună în sandbox-uri și capacități de testare, de computing, trebuie să le facă atrăgătoare pentru companii, să fie huburi de creativitate”, a explicat Tudorache.
Amenzi
Amenzile pentru nerespectarea AI ACT pot ajunge până la 35 milioane de euro sau 7% din cifra de afaceri anuală la nivel mondial.
Pentru nerespectarea normelor privind sistemele de inteligență artificială interzise se pot aplica sancțiuni de până la 35.000.000 euro sau 7% din cifra de afaceri anuală totală a unei întreprinderi. Nerespectarea altor cerințe, inclusiv a GPAI (general-purpose AI – sisteme de inteligență artificială cu scop general și modelele GPAI), are amenzi de până la 15.000.000 de euro sau 3% din cifra de afaceri anuală totală.
Furnizarea de informații incorecte, incomplete sau înșelătoare va duce la sancțiuni de până la 7.500.000 de euro sau 1,5% din cifra de afaceri. Cu toate acestea, regulamentul prevede praguri mai mici pentru furnizorii de mici dimensiuni, întreprinderile nou înființate, întreprinderile mijlocii (IMM-uri) și viabilitatea economică a acestora.
Statele membre vor pune în aplicare regulamentul și se vor asigura că întreprinderile se conformează.
Nu este clar cine va fi reglementatorul în România. Tudorache spune că statele membre trebuie să aleagă dacă creează o autoritate nouă sau dacă investesc competențele din AI Act într-o autoritate existentă. „Ar trebui să se meargă pe consilidare de competențe, pentru că a devenit din ce în ce mai greu să știi la ușa cui să bați. De exemplu, poți da aceste competențe către ANCOM, deși ar trebui să adaugi personal specializat. Aceeași autoritate se va ocupa și de verificare”, mai spune raportorul.
Sursa foto: Dreamstime.com © Wrightstudio