Uredba (EU) 2024/1689 — poznata kao EU AI Act — stupila je na snagu 1. avgusta 2024. i uvodi gradiranu regulaciju AI sistema zavisno od nivoa rizika. Za SaaS kompanije koje integrišu ili razvijaju AI funkcionalnosti, pitanje nije da li će biti obaveza, već koje konkretno i kada. Ovaj tekst je informativnog karaktera i ne zamenjuje individualni pravni savet.
Klasifikacija rizika: četiri nivoa
AI Act deli AI sisteme na četiri kategorije:
Neprihvatljiv rizik — zabranjeni sistemi (zabrane se primenjuju od 2. februara 2025): – Kognitivna manipulacija korisnika koja zaobilazi slobodnu volju – Masovni biometrijski nadzor u javnim prostorima (uz uske izuzetke za bezbednosne organe) – Socijalni rejting od strane javnih vlasti – AI koji eksploatiše ranjivosti (uzrast, invaliditet)
Visoki rizik — strogi zahtevi (primena od avgusta 2026. za nove sisteme): – Sistemi u oblasti zapošljavanja (selekcija CV-jeva, procena radnog učinka) – Kritična infrastruktura (energetika, vodosnabdevanje) – Obrazovanje i stručno osposobljavanje – Pristup javnim uslugama i beneficijama – Migracija, azil i granična kontrola – Primena zakona
Ograničen rizik — obaveze transparentnosti: – Chatbotovi moraju informisati korisnike da razgovaraju sa AI – Deep-fake sadržaj mora biti označen – AI-generisani tekst koji se distribuira na veliku skalu
Minimalni rizik — bez posebnih obaveza po AI Act-u (filteri za neželjenu poštu, preporučni sistemi koji nisu visokog rizika).
Šta AI Act zahteva od provajdera visokog rizika
Ako Vaš SaaS sistem potpada pod “visoki rizik”, obaveze su supstancijalne:
1. Sistem upravljanja rizicima (Član 9) — Kontinuirani proces identifikacije, procene i ublažavanja rizika tokom čitavog životnog ciklusa sistema.
2. Upravljanje podacima (Član 10) — Trening i test skupovi podataka moraju biti relevantni, reprezentativni i slobodni od grešaka koje bi mogle dovesti do diskriminacije.
3. Tehnička dokumentacija (Član 11 + Aneks IV) — Detaljan opis sistema: namena, arhitektura, tokovi podataka, metrike performansi, ograničenja.
4. Automatsko logovanje (Član 12) — Sistemi visokog rizika moraju automatski beležiti aktivnosti u meri koja omogućava naknadnu rekonstrukciju odluka (post-market monitoring).
5. Transparentnost prema korisnicima (Član 13) — Jasna uputstva za upotrebu, ograničenja i nadgledanje od strane čoveka.
6. Nadzor od strane čoveka (Član 14) — Mere koje omogućavaju operatorima da preuzmu kontrolu, pauziraju ili isključe sistem.
7. Tačnost, robustnost, bezbednost (Član 15)
8. Conformity Assessment (Član 43) — Samoprocena (za većinu sistema visokog rizika) ili nezavisna procena (za određene kategorije). Afiks CE oznake. Registracija u EU bazi podataka.
GPAI modeli — poseban režim
Uredba uvodi posebna pravila za modele opšte namene (GPAI — General Purpose AI), kao što su veliki jezički modeli. Provajderi GPAI modela moraju:
- Objaviti tehničku dokumentaciju
- Objaviti sažetak podataka korišćenih za trening
- Implementirati politiku poštovanja autorskih prava
- Sistemi visokog rizika izgrađeni na GPAI-u nasleđuju obaveze visokog rizika.
Compliance checklist za SaaS firme (2025–2026)
Odmah (zabrane aktivne od 2. februara 2025.): – [ ] Proverite da nijedna AI funkcionalnost ne spada u kategoriju zabranjenih sistema – [ ] Dokumentujte analizu za internu upotrebu
Do avgusta 2026. (visoki rizik — novi sistemi): – [ ] Klasifikujte svaki AI sistem koji razvijate ili koristite – [ ] Za visoki rizik: pokrenite sistem upravljanja rizicima – [ ] Pripremite tehničku dokumentaciju po Aneksu IV – [ ] Implementirajte automatsko logovanje aktivnosti – [ ] Osigurajte mehanizam human-in-the-loop – [ ] Sprovedite conformity assessment i registrujte se u EU bazi
Transparentnost (odmah za chatbotove i deep-fake): – [ ] Obezbedite notifikaciju korisnicima da komuniciraju sa AI – [ ] Označite AI-generisani sadržaj gde je primenljivo
Srbija i EU AI Act
AI Act se primenjuje na provajdere AI sistema koji stavljaju sisteme na tržište EU ili ih koriste u EU — bez obzira na sedište kompanije. Srpska SaaS firma koja prodaje EU klijentima podleže AI Act-u. Srbija kao zemlja kandidat nema obavezu direktne primene, ali harmonizacija zakona je verovatna u narednom periodu.
Česta pitanja (Q&A)
Da li se AI Act primenjuje na srpsku firmu koja prodaje SaaS u EU? Da. AI Act ima eksteritorijalnu primenu — primenjuje se na provajdere bez obzira na sedište, ako stavljaju AI sisteme na tržište EU ili ako se njihovi sistemi koriste u EU.
Koji SaaS sistemi su “visokog rizika”? Visoki rizik uključuje sisteme za selekciju zaposlenih (CV screening), procenu kreditnog rizika, sisteme u obrazovanju i javnim uslugama. Preporučni sistemi e-commerce tipično nisu visokog rizika.
Šta je conformity assessment i da li moram da angažujem treće lice? Za većinu visokih rizika dovoljna je samoprocena uz dokumentaciju. Nezavisna treća strana obavezna je za biometrijske sisteme i sisteme u kritičnoj infrastrukturi.
Koje su kazne za kršenje AI Act-a? Do 35 miliona EUR ili 7% globalnog godišnjeg prihoda za zabranjene sisteme; do 15 miliona EUR ili 3% za ostale visokorizične povrede; do 7,5 miliona EUR ili 1% za netačne informacije regulatoru.
Zaključak
EU AI Act je operativan. Pitanje nije da li će Vaš SaaS biti pod lupom — pitanje je kada. Klasifikacija sistema, dokumentacija i priprema za conformity assessment su gradljivi procesi ako počnete na vreme. Ako sačekate da vas regulator kontaktira, prostor za manevar se drastično sužava.
Izvori
- Uredba (EU) 2024/1689 (EU AI Act), OJ L, 12.7.2024
- https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence
- AI Office
- smernice i mišljenja