Към април 2026 г. Актът на ЕС за изкуствения интелект (AI Act) вече е в активна фаза на поетапно прилагане. Този регламент установява мащабна рамка, която класифицира системите с ИИ според техния риск и налага строги изисквания за сигурност, прозрачност и управление.
График за прилагане и ключови срокове
Регламентът влезе в сила през 2024 г., но задълженията се активират на етапи:
- 2 февруари 2025 г.: Влязоха в сила забраните за неприемливи практики (напр. социално оценяване, манипулативни техники).
- 2 август 2025 г.: Започнаха да се прилагат правилата за ИИ с общо предназначение (GPAI), управлението (Служба по ИИ) и санкциите.
- 2 август 2026 г. (Обща дата на прилагане): Това е крайният срок, в който повечето разпоредби стават задължителни, включително изискванията за високорискови системи с ИИ.
- 2 август 2027 г.: Влизат в сила задълженията за системи с ИИ, които са компоненти на продукти, регулирани от друго законодателство на Съюза (напр. машини, играчки, медицински изделия).
Задължения за бизнеса
Задълженията зависят от ролята на компанията – дали е доставчик (разработва ИИ) или внедрител (използва ИИ професионално).
1. За високорискови системи с ИИ (High-Risk AI)
Бизнесът, който разработва или използва такива системи (напр. в критична инфраструктура, образование или заетост), трябва да осигури:
- Система за управление на риска: Непрекъснат процес за идентифициране и смекчаване на рискове през целия жизнен цикъл на системата.
- Управление на данните: Наборите от данни за обучение трябва да са с високо качество, представителни и без грешки, за да се избегне дискриминация.
- Техническа документация и записи: Поддържане на подробна информация и автоматично генерирани записи (logs) за проследяване на работата на системата.
- Човешки контрол: Проектиране по начин, който позволява на физически лица да наблюдават и, ако е необходимо, да прекъсват работата на ИИ.
- Киберсигурност и точност: Гарантиране на устойчивост срещу атаки (като „отравяне на данни“) и поддържане на обявените нива на точност.
2. За ИИ с общо предназначение (GPAI)
Доставчиците трябва да изготвят техническа документация, да въведат политики за спазване на авторското право и да публикуват обобщения на данните, използвани за обучение.
3. Задължения за прозрачност
Бизнесът трябва да информира потребителите, когато взаимодействат с ИИ (освен ако не е очевидно) и да обозначава ясно синтетично генерирано съдържание (deepfakes).
AI Сигурност (AI Security)
Регламентът изисква високорисковите системи да бъдат устойчиви на опити на трети страни да променят тяхната работа чрез използване на уязвимости. Техническите решения трябва да включват мерки за откриване и реакция при атаки, насочени към манипулиране на моделите (напр. adversarial examples).
Реални последствия за бизнеса
1. Финансови санкции (Глоби)
Нарушенията на регламента могат да доведат до драстични финансови последици:
- Забранени практики: Глоби до 35 000 000 EUR или 7 % от общия годишен световен оборот (което е по-голямо).
- Неспазване на основни изисквания: До 15 000 000 EUR или 3 % от оборота.
- Предоставяне на невярна информация: До 7 500 000 EUR или 1 % от оборота.
- За МСП и новосъздадени предприятия са предвидени по-ниски тавани на глобите.
2. Регулаторен надзор и пазарни мерки
Органите за надзор имат право да изискат изтегляне или изземане на система с ИИ от пазара, ако тя представлява риск, дори и формално да отговаря на изискванията.
3. Възможности за иновации
За да подпомогне бизнеса, регламентът изисква държавите членки да създадат регулаторни лаборатории (sandboxes). Те позволяват на компаниите да тестват иновативни системи под държавен надзор, като МСП имат приоритетен и безплатен достъп до тях.
Бизнесът трябва да е завършил своята правна и техническа подготовка до август 2026 г., за да избегне както санкциите, така и риска от принудително спиране на техните ИИ продукти в рамките на ЕС.