Najvažnije što treba zapamtiti:
- Zakon nameće stroga pravila zasnovana na nivou rizika sistema (neprihvatljiv, visok, ograničen ili minimalan (Inacceptable, Haut, Limité ou Minimal).
-
Svako preduzeće koje koristi eksterni alat sa veštačkom inteligencijom smatra se „korisnikom koji uvodi sistem“ i mora da obezbedi svoju usklađenost.
-
Primena je progresivna sa glavnim rokom u avgustu 2026. godine za usklađivanje poslovnih alata.
- Kazne mogu dostići i do 7% ukupnog godišnjeg prometa na globalnom nivou u slučaju ozbiljnog kršenja zabrana.
AI Act je nova evropska legislativa koja uređuje upotrebu veštačke inteligencije od strane preduzeća . Objavljena u avgustu 2024. godine od strane Evropske komisije, ova uredba predstavlja prvi regulatorni okvir u svetu posvećen veštačkoj inteligenciji i deo je krupnih regulatornih promena u Evropi.
Ona se odnosi na svaku organizaciju koja razvija ili koristi sistem veštačke inteligencije u Evropi, sa postepenom primenom do 2027. godine. Njen cilj je jasan: uspostaviti pouzdan okvir za osiguranje upotrebe, bez kočenja inovacija.
AI Act: definicija i kontekst — zašto je Evropa prva donela zakon
AI Act je evropska uredba koja uređuje razvoj i upotrebu sistema veštačke inteligencije unutar Evropske unije. Zvanično nazvana Uredba (EU) 2024/1689, takođe se označava i pod nazivom RIA.
Zašto je Evropa prva donela zakon? Okidač je bio direktan: masovni dolazak alata kao što je ChatGPT krajem 2022. godine ubrzao je usvajanje veštačke inteligencije u preduzećima, bez strukturiranog okvira. Suočene sa ovim brzim usvajanjem, evropske vlade su odlučile da deluju brzo, posebno kako bi regulisale integraciju ovih tehnologija u digitalne alate i onlajn usluge dostupne na veb-sajtu.
Cilj je dvostruk: garantovati veštačku inteligenciju dostojnu poverenja, koja poštuje osnovna prava i privatnost, dok istovremeno ostavlja prostor za inovacije. Evropska unija na taj način stiče stratešku prednost u odnosu na Sjedinjene Američke Države i Kinu, postavljajući prvi svetski regulatorni okvir posvećen veštačkoj inteligenciji.
Saznajte više o našoj ekspertizi za AI Act
Zvanična definicija sistema veštačke inteligencije prema uredbi
Prema uredbi, sistem veštačke inteligencije je automatizovani sistem sposoban da funkcioniše sa određenim nivoom autonomije, koji generiše predviđanja, preporuke, odluke ili sadržaj, sa uticajem na stvarno ili digitalno okruženje.
Ova definicija je namerno široka. Ona se ne ograničava samo na model kao što je GPT, već uključuje ceo sistem: interfejs, obradu podataka, poslovnu logiku i integraciju u alat koji preduzeće koristi. To je tačka koja se često pogrešno razume.
Konkretno, SaaS softver koji integriše funkciju veštačke inteligencije ulazi u polje primene uredbe čim utiče na neku odluku ili automatizuje proces.
RIA, IA Act, evropska uredba o VA: tri naziva za jedan tekst
Termini IA Act, AI Act, RIA (Uredba o veštačkoj inteligenciji) i Uredba (EU) 2024/1689 odnose se na jedan te isti tekst. Ova množina naziva stvara čestu zabunu, kako u Gugl pretragama, tako i u razgovorima između rukovodilaca, pravnika i menadžera za usklađenost.
U praksi, IA Act ostaje najčešće korišćeni termin. U Francuskoj, CNIL i francuske administracije radije koriste RIA, što odgovara zvaničnom akronimu uredbe na francuskom jeziku.
Za pamćenje
- IA Act = AI Act = RIA = Uredba (EU) 2024/1689
- Jedan tekst, nekoliko naziva
- RIA je zvanični akronim koji se koristi u Francuskoj
Pristup zasnovan na riziku: 4 nivoa klasifikacije u AI Act-u
Nivo 1 - Sistemi veštačke inteligencije sa neprihvatljivim rizikom
- zabranjeni od februara 2025. godine
Sistemi veštačke inteligencije sa neprihvatljivim rizikom su strogo zabranjeni od 2. februara 2025. godine. Smatraju se nekompatibilnim sa osnovnim pravima i bezbednošću ljudi.
To se posebno odnosi na
Sistemi veštačke inteligencije sa neprihvatljivim rizikom su strogo zabranjeni od 2. februara 2025. godine. Smatraju se nekompatibilnim sa osnovnim pravima i bezbednošću ljudi.
To se posebno odnosi na
- Sisteme subliminalne manipulacije, sposobne da utiču na ponašanje a da korisnik toga nije svestan
-
Društveno ocenjivanje, koje se sastoji od dodeljivanja ocene ponašanja pojedincima
- Biometrijsko prepoznavanje u realnom vremenu u javnom prostoru, osim u veoma strogo regulisanim izuzecima vezanim za javnu bezbednost (terorizam, teški kriminal)
- Sisteme koji iskorišćavaju ranjivost određenih grupa ljudi
Konkretno, preduzeće koje uvede ovu vrstu sistema odmah se izlaže sankcijama. Zabrana je već na snazi, bez prelazne faze.
Nivo 2 - Visokorizični sistemi veštačke inteligencije
- pojačane obaveze od avgusta 2026. godine
Visokorizični sistemi veštačke inteligencije su oni koji imaju direktan uticaj na osetljive odluke za ljude . Ovo je nivo koji najviše strukturira poslovanje za mala i srednja preduzeća i kompanije srednje kapitalizacije, jer se odnosi na upotrebe koje su već prisutne u mnogim poslovnim funkcijama.
Uredba posebno identifikuje osam visokorizičnih oblasti (Annexe III) :
- Regrutovanje i upravljanje ljudskim resursima (automatsko sortiranje biografija, procena kandidata)
- Krediti i osiguranje (automatsko finansijsko ocenjivanje)
- Zdravstvo (pomoć pri medicinskoj dijagnostici)
- Pravosuđe (pomoć pri donošenju sudskih odluka)
- Kritična infrastruktura (energija, transport)
- Obrazovanje (automatsko ocenjivanje učenika)
- Organi reda
- Migracije i granična kontrola
Od avgusta 2026. godine, ovi sistemi moraju poštovati stroge obaveze: kompletna tehnička dokumentacija, procena usklađenosti, registracija u evropskoj bazi podataka, efikasan ljudski nadzor i izrada analize uticaja na osnovna prava (FRIA).
Za preduzeće, ulog je neposredan: identifikovati ove sisteme i započeti usklađivanje sa propisima već sada.
Za pamćenje
- Visokorizični sistemi odnose se na kritične poslovne upotrebe
- 8 oblasti jasno definisanih u Aneksu III
- Teške obaveze od avgusta 2026. godine (dokumentacija, usklađenost, ljudska kontrola)
- Predviđanje i delovanje unapred sprečava kašnjenje koje je teško nadoknaditi
Nivo 3 - Sistemi veštačke inteligencije sa ograničenim rizikom
- obaveze transparentnosti
Sistemi veštačke inteligencije sa ograničenim rizikom uglavnom se odnose na četbote, alate za generisanje sadržaja (tekst, slika, glas) ili dipfejkove. Oni se široko koriste u korisničkim servisima, marketingu ili proizvodnji sadržaja.
Glavna obaveza se zasniva na transparentnosti: korisnik mora biti obavešten da stupa u interakciju sa veštačkom inteligencijom. Konkretno, četbot korisničke službe mora se jasno predstaviti kao takav na samom početku razgovora.
Cilj je jednostavan: izbeći svaku zabunu između ljudske interakcije i automatizovane interakcije.
Nivo 4 - Sistemi veštačke inteligencije sa minimalnim rizikom
- bez specifičnih obaveza
Sistemi veštačke inteligencije sa minimalnim rizikom obuhvataju većinu trenutnih upotreba u preduzećima.. Ovo uključuje spam filtere, alate za preporuku sadržaja ili određene sisteme veštačke inteligencije koji se koriste u video igrama.
Ovi sistemi ne podležu nikakvim specifičnim regulatornim obavezama. Oni predstavljaju nizak nivo rizika za korisnike.
Za preduzeća, ovo je umirujuća stavka: većina alata koji se svakodnevno koriste ostaje izvan ograničenja ove uredbe, pod uslovom da se njihova upotreba ne razvije u osetljivije slučajeve.
Modeli veštačke inteligencije opšte namene (GPAI): posebna kategorija koja je stupila na snagu u avgustu 2025. godine
Modeli veštačke inteligencije opšte namene (GPAI) označavaju višenamenske sisteme sposobne da ispunjavaju veliku raznolikost zadataka, a da pritom nisu dizajnirani za samo jednu jedinstvenu upotrebu. To je slučaj sa modelima kao što su Claude, Gemini ili LLaMA.
Za razliku od drugih sistema, oni se ne klasifikuju prema svojoj poslovnoj svrsi. AI Act stoga na njih primenjuje specifičan režim, koji je stupio na snagu 2. avgusta 2025. godine.
Predviđena su dva nivoa obaveza:
- Svi GPAI moraju poštovati zahteve koji se odnose na tehničku dokumentaciju i poštovanje autorskih prava, posebno kada je reč o podacima korišćenim za treniranje modela.
- GPAI koji predstavljaju sistemski rizik (iznad praga računarske snage od $10^{25}$ FLOPs, što je rezervisano za najnaprednije modele na tržištu) podležu pojačanim obavezama: adversarijalne evaluacije, prijavljivanje incidenata i strogi zahtevi u pogledu sajber-bezbednosti
Konkretno, preduzeće koje koristi alate zasnovane na ovim modelima direktno zavisi od nivoa usklađenosti svojih dobavljača. Ova stavka često ostaje potcenjena u strategijama usklađivanja.
Ugao stručnjaka : „Modeli veštačke inteligencije opšte namene već su integrisani u brojne alate koji se koriste u preduzećima, a da njihov regulatorni status nije uvek identifikovan. To je ugao koji se često potcenjuje u procesima usklađivanja.“
„Nivo usklađenosti dobavljača GPAI modela postaje direktan izazov za preduzeće koje ga koristi. Loše procenjena zavisnost može stvoriti indirektan regulatorni rizik.“
AI Act se ne odnosi isključivo na preduzeća koja razvijaju sisteme veštačke inteligencije. On definiše četiri različite uloge, svaka sa sopstvenim obavezama, u zavisnosti od upotrebe i pozicije u lancu vrednosti.
Za razliku od drugih sistema, oni se ne klasifikuju prema svojoj poslovnoj svrsi. AI Act stoga na njih primenjuje specifičan režim, koji je stupio na snagu 2. avgusta 2025. godine.
| Rôle | Définition | Obligations |
|---|---|---|
| Fournisseur | Développe et met sur le marché un système IA | Évaluation de conformité, marquage CE, enregistrement dans la base européenne |
| Déployeur | Utilise un système IA dans un contexte professionnel | Surveillance humaine, analyse d’impact (FRIA), formation des équipes |
| Importateur | Introduit un système IA hors UE sur le marché européen | Vérification de la conformité du fournisseur et de la documentation technique |
| Distributeur | Commercialise un système IA sans modification | Vérification du marquage CE et des instructions d'utilisation |
Ključna tačka za rukovodioce:
Čak i ako vaše preduzeće ne razvija veštačku inteligenciju, ono se smatra „korisnikom koji uvodi sistem“ čim koristi alat koji integriše sistem veštačke inteligencije, bilo da je to u ljudskim resursima, korisničkom servisu ili finansijskoj analizi.
Konkretno, upotreba alata za sortiranje biografija, softvera za ocenjivanje ili četbota dovoljna je za ulazak u polje primene ove uredbe. Ova realnost je još uvek u velikoj meri potcenjena, iako već pokreće obaveze u pogledu nadzora, obuke timova i analize rizika.
U ovom kontekstu, razumevanje važnosti dužne pažnje postaje od suštinskog značaja za procenu alata koji se koriste, osiguravanje dobavljača i ograničavanje regulatornih rizika.
Drugim rečima, pitanje više nije „da li se ovo odnosi na mene?“, već „u kom nivou se odnosi na mene i koje akcije moram da preduzmem?“.
Kalendar AI Act-a 2024–2027: rokovi koje vaše preduzeće mora da zna
Kalendar AI Act-a se proteže na nekoliko godina, sa postepenom primenom obaveza. Za preduzeća, razumevanje ovih rokova omogućava predviđanje akcija koje treba sprovesti i izbegavanje kašnjenja koje je teško nadoknaditi.
Evo ključnih datuma koje treba zapamtiti:
- 1. avgust 2024 : stupanje na snagu Uredbe (EU) 2024/1689
- 2. februar 2025 : zabrana sistema sa neprihvatljivim rizikom (već na snazi)
- 2. avgust 2025 : obaveze primenjive na modele veštačke inteligencije opšte namene (GPAI)
- 2. avgust 2026 : kompletne obaveze za visokorizične sisteme (Aneks III) i pravila upravljanja
- 2. avgust 2027 : proširenje na visokorizične sisteme koji potpadaju pod Aneks I (medicinska sredstva, avijacija, itd.)
Upozorenje
Rok u avgustu 2026. godine najviše strukturira poslovanje. On nameće kompletne obaveze za visokorizične sisteme, sa visokim zahtevima za usklađenost.
Uspostavljanje programa usklađenosti sa veštačkom inteligencijom traje u proseku 4 do 6 meseci . Preduzeća koja počnu u 2026. godini izlažu se strukturalnom kašnjenju, koje je teško nadoknaditi.
Predviđanje i delovanje već sada omogućava osiguravanje vaših upotreba i izbegavanje usklađivanja u hitnosti.
Potrebna vam je podrška u strukturiranju vaše usklađenosti sa AI Act-om?
Otkrijte našu ekspertizu za usklađenost sa AI Act-om kod Eterra Partners ili istražite naš pristup kao konsultantske kuće za usklađenost.
Sankcije u AI Act-u: šta kompanije konkretno rizikuju
Uredba predviđa visoke finansijske sankcije u slučaju nepoštovanja obaveza. Nivo kazne zavisi od ozbiljnosti kršenja.
| Violation | Amende maximale |
|---|---|
| Utilisation d’un système à risque inacceptable(ex : notation sociale, manipulation subliminale) | 35 M€ ou 7% du CA mondial |
| Non-respect des obligations(ex : absence de documentation, défaut de supervision humaine) | 15 M€ ou 3% du CA mondial |
| Informations inexactes aux autorités(ex : déclaration erronée) | 7,5 M€ ou 1% du CA mondial |
U Francuskoj primenu uredbe obezbeđuje Generalna direkcija za preduzeća (DGE). Na evropskom nivou, Evropska kancelarija za veštačku inteligenciju nadgleda modele opšte namene (GPAI).
Za mala i srednja preduzeća, sankcije su prilagođene: ograničene su na niži nivo, koji može biti i do 1,5 puta manji od predviđenih maksimalnih iznosa.
Pored samog iznosa, rizik je takođe operativan i reputacioni. Neusklađenost može dovesti do obustave upotrebe ili gubitka poverenja partnera.
AI Act i RGPD: kako ih povezati i uskladiti u vašoj organizaciji
AI Act ne zamenjuje RGPD (evropski GDPR), već ga dopunjuje. Obe regulative se primenjuju istovremeno čim sistem veštačke inteligencije obrađuje lične podatke i privatnost.
| Critère | RGPD | IA Act |
|---|---|---|
| Objet de la réglementation | Encadre les données personnelles (collecte, traitement, conservation) | Encadre le fonctionnement du système IA (logique, décisions, risques) |
| Finalité principale | Protéger les individus dans l’utilisation de leurs données | Encadrer l’impact des systèmes IA sur les personnes et la société |
| Approche | Centrée sur la donnée | Centrée sur le niveau de risque du système |
Konkretno, isti alat može podlegati obema strukturama. Na primer, softver za automatizovano regrutovanje mora istovremeno da poštuje pravila o zaštiti podataka i da odgovori na zahteve nivoa rizika koji definiše AI Act.
Sinergije postoje. Analiza uticaja na veštačku inteligenciju (FRIA) može se koordinirati sa procenom uticaja na zaštitu podataka (AIPD), što omogućava zajedničko korišćenje resursa. Slično tome, tehnička dokumentacija koju zahteva AI Act može se osloniti na već strukturirani registar aktivnosti obrade.
Izazov za preduzeća je da izbegnu upravljanje u silosima i da izgrade koherentan pristup usklađenosti.
Često postavljana pitanja (FAQ) — AI Act: vaša pitanja o evropskoj regulativi
VAŠA PITANJA
AI Act: vaša pitanja o evropskoj regulativi
Da li se AI Act odnosi na moje preduzeće ?
—
Da li se AI Act odnosi na moje preduzeće ako ono nije programer veštačke inteligencije?
Da. Čim preduzeće koristi sistem veštačke inteligencije u profesionalnom okviru, smatra se korisnikom koji uvodi sistem i ulazi u polje primene ove uredbe.
To podrazumeva nekoliko obaveza: efikasan ljudski nadzor, obuku timova i upravljanje incidentima. Ovi zahtevi su eksplicitno predviđeni tekstom, posebno za visokorizične sisteme.
U praksi, upotreba alata za regrutovanje, četbota ili softvera za analizu dovoljna je da biste bili obuhvaćeni uredbom.
Koja je razlika između AI Act-a i RGPD-a?
RGPD (evropski GDPR) uređuje lične podatke, dok AI Act uređuje same sisteme veštačke inteligencije.
Konkretno, RGPD reguliše prikupljanje, obradu i zaštitu podataka, dok AI Act nameće zahteve koji se odnose na funkcionisanje, rizike i upotrebu AI sistema. Ova dva okvira se često primenjuju istovremeno, posebno kada AI sistemi obrađuju lične podatke.
Sinergije postoje: analiza uticaja na veštačku inteligenciju (FRIA) može se povezati sa procenom uticaja na zaštitu podataka (AIPD), što omogućava strukturiranje koherentnog pristupa i izbegavanje dupliranja posla.
Da li je moj četbot ili moj AI alat za regrutovanje visokorizičan sistem?
To zavisi od upotrebe sistema. Četbot korisničke službe je generalno klasifikovan kao sistem sa ograničenim rizikom: on jednostavno mora da obavesti korisnika da stupa u interakciju sa veštačkom inteligencijom.
Nasuprot tome, automatizovani alat za regrutovanje koji sortira ili procenjuje kandidate smatra se visokorizičnim sistemom, jer direktno utiče na odluku u osetljivoj oblasti (Aneks III).
Ključni kriterijum je sledeći: da li se sistem samo ograničava na pomaganje pri donošenju odluke ili igra odlučujuću ulogu u procesu koji utiče na ljude? Što je njegov uticaj jači, to se nivo rizika više povećava.
Koje su prve obaveze koje treba uvesti radi usklađivanja sa AI Act-om?
Usklađivanje sa AI Act-om zasniva se na tri prioritetna koraka.
- Kartografisanje vaših sistema veštačke inteligencije : identifikujte sve alate koji se koriste u vašem preduzeću (ljudski resursi, korisnički servis, finansije, marketing).
- Klasifikacija svakog sistema prema nivou rizika : utvrdite da li potpada pod minimalni, ograničeni, visoki ili neprihvatljivi rizik.
- Prioritizacija akcija na visokorizičnim sistemima : to su sistemi koji koncentrišu najteže obaveze, sa ključnim rokom u avgustu 2026. godine.
Podrška specijalizovane konsultantske kuće omogućava strukturiranje ovog pristupa i izbegavanje grešaka u tumačenju.
VAŠA PITANJA
Evropski zakon o veštačkoj inteligenciji (AI Act)
Da li se AI Act odnosi na moje preduzeće ?
Koji su kriterijumi da bi se sistem veštačke inteligencije klasifikovao kao visokorizičan prema AI Act-u?
Sistem veštačke inteligencije je klasifikovan kao visokorizičan ako ima direktan uticaj na osetljive odluke koje se odnose na ljude i kritične aktivnosti, posebno u osam oblasti definisanih Aneksom III ove uredbe: regrutovanje i upravljanje ljudskim resursima, krediti i osiguranje, zdravstvo, pravosuđe, kritične infrastrukture, obrazovanje, organi reda i kontrola granica. Klasifikacija ne zavisi od same tehnologije, već od njene upotrebe i potencijalnog uticaja na osnovna prava.
Koje su uloge precizirane u AI Act-u i koje obaveze svaka od njih podrazumeva?
Uredba razlikuje četiri uloge: dobavljača / provajdera (programer sistema veštačke inteligencije), uvoznika, distributera i korisnika koji uvodi sistem (profesionalni korisnik). Dobavljač mora da obezbedi usklađenost, dobije CE oznaku i registruje sistem. Uvoznik i distributer moraju da provere, respektivno, usklađenost dobavljača i prisustvo oznake. Korisnik koji uvodi sistem mora da obezbedi ljudski nadzor, sprovede analizu uticaja na osnovna prava i obuči svoje timove.
Kako se AI Act povezuje sa RGPD-om (GDPR) u preduzećima koja koriste sisteme veštačke inteligencije?
RGPD reguliše prikupljanje i zaštitu ličnih podataka, dok AI Act uokviruje funkcionisanje samih sistema veštačke inteligencije, fokusirajući se na rizike i načine upotrebe. Kada sistem veštačke inteligencije obrađuje lične podatke, obe regulative se primenjuju istovremeno. Preduzeća mogu da objedine napore koordinisanjem analize uticaja na veštačku inteligenciju (FRIA) sa procenom uticaja na zaštitu podataka (AIPD), kao i integrisanjem tehničke dokumentacije veštačke inteligencije u RGPD registar aktivnosti obrade, kako bi se izbeglo upravljanje usklađenošću u silosima.
Koje su sankcije predviđene AI Act-om u slučaju nepoštovanja obaveza i kako se one razlikuju za mala i srednja preduzeća (PME)?
Sankcije mogu dostići i do 35 miliona evra ili 7% ukupnog godišnjeg prometa na globalnom nivou za upotrebu sistema sa neprihvatljivim rizikom, 15 miliona evra ili 3% prometa za neispunjavanje obaveza (odsustvo dokumentacije, nadzora…), i 7,5 miliona evra ili 1% prometa za dostavljanje lažnih informacija nadležnim organima. Za mala i srednja preduzeća (PME), iznosi su prilagođeni naniže, sa plafoniranjem koje može biti i do 1,5 puta niže od maksimuma, uzimajući u obzir njihovu veličinu i finansijski kapacitet, ali operativni i reputacioni rizik i dalje ostaje značajan.
