Το EU AI Act και η ρύθμιση συστημάτων Τεχνητής Νοημοσύνης

Γράφει η Χριστίνα Ορφανίδου, Επιχειρησιακή Διευθύντρια, Artificial Intelligence & Data, Deloitte Κύπρου

Ο κανονισμός του Ευρωπαϊκού Κοινοβουλίου για την τεχνητή νοημοσύνη (AI Act), που τέθηκε σε ισχύ την 1η Αυγούστου 2024, σηματοδοτεί μια κρίσιμη στιγμή στην ρύθμιση της Tεχνητής Nοημοσύνης (TN), στην ΕΕ και παγκοσμίως. Είναι ένα ολοκληρωμένο κανονιστικό πλαίσιο που ρυθμίζει την ανάπτυξη και χρήση συστημάτων AI στην ευρωπαϊκή αγορά, προκειμένου να προωθήσει ανθρωποκεντρικό και αξιόπιστο ΑΙ.

Η εφαρμογή του κανονισμού αλλάζει ριζικά τη χρήση, ανάπτυξη και παρακολούθηση των τεχνολογιών ΑΙ στην ΕΕ, επιβάλλοντας στις εταιρείες να δώσουν προτεραιότητα σε ηθικά ζητήματα όπως και σε θέματα διαφάνειας και λογοδοσίας. Επίσης, οι πολίτες της ΕΕ που είναι χρήστες συστημάτων ΑΙ, θα απολαμβάνουν ένα πιο ασφαλές και διαφανές οικοσύστημα AIπου θα προασπίζει τα δικαιώματα και την ασφάλειά τους. Ο Κανονισμός αφορά παρόχους, χρήστες, εισαγωγείς και διανομείς συστημάτων ΑΙ εντός της ΕΕ, χρήστες εντός της ΕΕ που χρησιμοποιούν συστήματα ανεξάρτητα από την προέλευσή τους, και παρόχους ή χρήστες εκτός ΕΕ των οποίων τα προϊόντα διατίθενται εντός της ΕΕ.

Προσέγγιση με βάση τον κίνδυνο

Ο κανονισμός ορίζει τέσσερα επίπεδα κινδύνου για τα συστήματα και αντίστοιχους κανόνες συμμόρφωσης:

1. Μη-αποδεκτός κίνδυνος: απαγορεύονται συστήματα τα οποία θεωρούνται σαφής απειλή για την ασφάλεια, την ευημερία και τα δικαιώματα των ανθρώπων, όπως συστήματα κοινωνικής βαθμολόγησης από κυβερνήσεις, παιχνίδια που ενθαρρύνουν επικίνδυνη συμπεριφορά, και βιομετρικά συστήματα κατηγοριοποίησης που χρησιμοποιούν ευαίσθητα προσωπικά δεδομένα και δύναται να οδηγήσουν σε διακρίσεις.
2. Υψηλός κίνδυνος: ρυθμίζονται συστήματα που σχετίζονται με υποδομές ζωτικής σημασίας, κυβερνητικές υπηρεσίες, συστήματα εκπαιδευτικής ή επαγγελματικής κατάρτισης, βασικές ιδιωτικές υπηρεσίες όπως η πιστωτική βαθμολογία (credit scoring), συστήματα διαχείρισης εργαζομένων και οποιαδήποτε άλλη χρήση ΑΙ, η οποία δύναται να επηρεάσει με οποιοδήποτε τρόπο την ασφάλεια και τις ευκαιρίες του ανθρώπου.
3. Περιορισμένος κίνδυνος: αφορά συστήματα όπως chatbots και εφαρμογές που χρησιμοποιούν deepfakes, για τα οποία ο κανονισμός ορίζει κυρίως την υποχρέωση της διαφάνειας, δηλαδή οι δημιουργοί τους πρέπει να διασφαλίζουν ότι οι τελικοί χρήστες γνωρίζουν ότι αλληλοεπιδρούν με ΑΙ.
4. Ελάχιστος ή αμελητέος κίνδυνος: συμπεριλαμβάνει την πλειονότητα των εφαρμογών ΑΙ στην ΕΕ σήμερα, όπως π.χ., βιντεοπαιχνίδια που χρησιμοποιούν ΑΙ και τα φίλτρα ανεπιθύμητης ηλεκτρονικής αλληλογραφίας (spam filters) και δεν υπόκεινται σε ρυθμίσεις.

Ρύθμιση συστημάτων υψηλού κινδύνου

Οι πιο αυστηρές υποχρεώσεις που ορίζει ο κανονισμός αφορά τους παρόχους συστημάτων ΑΙ υψηλού κινδύνου και συμπεριλαμβάνει (1) οργανισμούς με έδρα εντός ή εκτός της ΕΕ που προτίθενται να διαθέσουν στην αγορά ή να θέσουν σε λειτουργία στην ΕΕ τέτοια συστήματα, και (2) παρόχους τρίτων χωρών όπου τα αποτελέσματα των συστημάτων τους χρησιμοποιούνται στην ΕΕ.

Συγκεκριμένα, τα συστήματα ΑΙ υψηλού κινδύνου υπόκεινται σε αυστηρές υποχρεώσεις πριν τη διάθεσή τους στην αγορά μέσω ενός ολοκληρωμένου πλαισίου διακυβέρνησης (AI Governance framework) και συμπεριλαμβάνουν μεταξύ άλλων τις ακόλουθες υποχρεώσεις:

• Υιοθέτηση συστήματος διαχείρισης κινδύνου καθ' όλο τον κύκλο ζωής του συστήματος.
• Διακυβέρνηση δεδομένων, διασφαλίζοντας τη συνάφεια, αντιπροσωπευτικότητα και ποιότητα των δεδομένων ανάπτυξης του συστήματος ΑΙ.
• Δημιουργία τεχνικού φακέλου αποδεικνύοντας τη συμμόρφωση μέσω παροχής πληροφοριών στις αρχές για την αξιολόγηση της εν λόγω συμμόρφωσης.
• Οδηγίες χρήσης για τελικούς χρήστες.
• Σχεδιασμός του συστήματος με τρόπο που να επιτρέπει την ανθρώπινη εποπτεία.
• Εφαρμογή ελέγχων για τη διασφάλιση ακρίβειας, τεχνικής ευρωστίας και ασφάλειας.

Χρονοδιάγραμμα εφαρμογής και πιθανές κυρώσεις

Αν και ο κανονισμός τέθηκε σε ισχύ ήδη την 1η Αυγούστου του 2024, υπάρχει σταδιακή εφαρμογή των διατάξεών του σε 6, 12, 18, 24 και 36 μήνες από την αρχική ημερομηνία έναρξης ισχύος. Επιχειρήσεις στην ΕΕ υποχρεούνται να συμμορφωθούν με κάποιες πρόνοιες του κανονισμού από τις 2 Φεβρουαρίου 2025. Η μησυμμόρφωση στην περίπτωση εφαρμογών μηαποδεκτού κινδύνου μπορεί να επιφέρει πρόστιμα έως €35εκ. ή 7 % του προηγούμενου συνολικού ετήσιου κύκλου εργασιών της επιχείρησης. Για εφαρμογές ΑΙ υψηλού κινδύνου (που είναι πιο σχετικές με επιχειρήσεις στην Κύπρο) το πρόστιμο μη-συμμόρφωσης ανέρχεται στα €15εκ ευρώ ή στο 3% του προηγούμενου ετήσιου κύκλου εργασιών.

Βήματα προς συμμόρφωση για κυπριακές εταιρείες

Οι οργανισμοί στην Κύπρο πρέπει να κατανοήσουν τις υποχρεώσεις τους και να δημιουργήσουν πλάνο συμμόρφωσης. Η χρήση εφαρμογών, όπως το ChatGPT, και οι ενσωματώσεις ΑΙ σε ευρέως διαδεδομένες πλατφόρμες και λογισμικά έχουν ως αποτέλεσμα την έλλειψη καθαρής εικόνας του εύρους της χρήσης ΑΙ από τους υπαλλήλους των κυπριακών εταιρειών. Συγχρόνως, ενώ τα τελευταία χρόνια έχει αυξηθεί κατακόρυφα η χρήση ΑΙ στις επιχειρήσεις, κυρίως λόγω της ανάπτυξης και εξάπλωσης της παραγωγικής ΑΙ (Generative AI), η ετοιμότητα των υπαλλήλων δεν έχει ακόμη διασφαλιστεί. Ο δρόμος προς τη συμμόρφωση δεν είναι ούτε απλός ούτε ομαλός. Οι οργανισμοί πρέπει να διασφαλίσουν ότι διαθέτουν πλήρη απογραφή των χρήσεων ΑΙ του οργανισμού τους, να τις κατηγοριοποιήσουν με βάση το ρίσκο και να οριοθετήσουν το πεδίο εφαρμογής τους, δημιουργώντας τις κατάλληλες εσωτερικές δομές διακυβέρνησης ΑΙ, διασφαλίζοντας έτσι τη συνεχή και πλήρη εποπτεία της συμμόρφωσης.