Wniosek legislacyjny w sprawie rozporządzenia dotyczącego sztucznej inteligencji Komisja Europejska złożyła w kwietniu 2021 roku. W grudniu 2023 roku Parlament Europejski, Rada i Komisja Europejska wypracowały kompromis w zakresie głównych założeń tego dokumentu.

13 marca 2024 roku Parlament Europejski przyjął rozporządzenie w sprawie AI (Artificial Intelligence Act)

Nowe przepisy wprowadzają kategorię zakazanych praktyk w zakresie sztucznej inteligencji, wśród których znalazło się m.in. stosowanie rozwiązań opartych na technikach podprogowych czy takich, które dyskryminują określone grupy osób.

• Niedozwolone będzie także stosowanie systemów AI do śledzenia stylu życia obywateli.

Rozporządzenie AI Act stanowi pierwszy na świecie kompleksowy dokument regulujący obszar sztucznej inteligencji.

• Celem dokumentu jest stworzenie solidnych ram prawnych, które zapewnią bezpieczne i etyczne wykorzystanie systemów AI, chroniąc Europejczyków przed negatywnymi skutkami jej rozwoju.

• Ostatecznym celem jest budowanie powszechnego zaufania do tej technologii, która niesie ze sobą ogromny potencjał rozwoju zarówno dla jednostek, jak i całych organizacji.

Rozwój generatywnej sztucznej inteligencji wiąże się z ogromnym wachlarzem zagrożeń – od klasycznego bezpieczeństwa informacji, po kwestie związane z podejmowaniem decyzji na temat finansów, kariery zawodowej, czy nawet zdrowia i życia. W obliczu tej rewolucji cyberbezpieczeństwo jest redefiniowane. Tradycyjne podejście do bezpieczeństwa systemów informatycznych jest niewystarczające.

Wdrażanie sztucznej inteligencji wymaga zabezpieczenia integralności i poufności danych wykorzystywanych w procesie trenowania modelu AI. Rozwiązania oparte na sztucznej inteligencji pozyskiwane od zewnętrznych dostawców generują konieczność budowania mechanizmów zapewniających właściwy poziom zaufania oraz ochronę przed atakami na łańcuchy dostaw.

W związku z szeregiem nowych wyzwań Rozporządzenie AI Act to bardzo potrzebna inicjatywa legislacyjna, dzięki której zapewnianie cyberbezpieczeństwa w procesie projektowania i wdrażania rozwiązań AI stanie się obligatoryjne – mówi Michał Kurek, Partner w Dziale Consultingu, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.

Co warto wiedzieć o założeniach rozporządzenia o sztucznej inteligencji?

Pierwszy etap wejścia w życie rozporządzenia AI Act nastąpi po upływie 20 dni od publikacji w Dzienniku Urzędowym Unii Europejskiej, a w pełni będzie ono obowiązywać 36 miesięcy po opublikowaniu, czyli w pierwszej połowie 2027 roku.

Definicja sztucznej inteligencji zawarta w unijnym akcie prawnym obejmuje szeroki zakres technologii i systemów, co w rezultacie znacząco wpłynie na funkcjonowanie firm.

• Istotne jest, że większość obowiązków jakie nakłada regulacja, będzie musiała być spełniana już w pierwszej połowie 2026 roku.

• Ograniczenia dotyczące systemów AI o wysokim ryzyku będą obowiązywały już sześć miesięcy po wejściu w życie rozporządzenia.

• Zasady dotyczące wykorzystywania systemów AI ogólnego przeznaczenia już po 12 miesiącach.

Rozporządzenie opiera się na klasyfikacji ryzyka związanego ze sztuczną inteligencją na następujące poziomy: niedopuszczalne, wysokie, ograniczone i minimalne.

• Systemy AI o wysokim ryzyku będą mogły być używane, ale podlegać będą surowym ograniczeniom, które dotyczyć będą zarówno użytkowników, jak i dostawców tych systemów.

• Termin „dostawca” obejmuje podmioty tworzące systemy AI, w tym organizacje, które robią to na własny użytek. Ważne jest zatem zrozumienie, że organizacja może pełnić zarówno rolę użytkownika, jak i dostawcy tych systemów.

Wdrażanie sztucznej inteligencji w przedsiębiorstwach przynosi wymierne korzyści, ale stanowi także wyzwanie, szczególnie w kontekście regulacji prawnych. Implementacja unijnych przepisów dotyczących AI nakłada na firmy obowiązek zapewnienia zgodności z surowymi standardami dotyczącymi etyki i ochrony danych.

- Konieczność przestrzegania tych regulacji wymaga gruntownej analizy istniejących systemów AI oraz ewentualnych modyfikacji w procesach biznesowych, aby zagwarantować zgodność z nowymi wymogami prawnymi i etycznymi.

- Przedsiębiorstwa muszą być świadome konsekwencji naruszania przepisów i działać proaktywnie, aby zapobiec ewentualnym nieprawidłowościom i utracie zaufania klientów – mówi Radosław Kowalski, Partner w Dziale Consultingu, Szef Zespołu Data Intelligence Solutions w KPMG w Polsce.

Jak przygotować biznes do zmian?

Wśród kluczowych działań krótkoterminowych organizacje powinny postawić na odpowiednie zarządzanie, polegające na kształtowaniu polityki firmy zgodnie z kategoryzacją ryzyka związanego z AI.

• Muszą brać pod uwagę, że lista systemów AI o ryzyku sklasyfikowanym jako niedopuszczalne lub wysokie może wydłużać się z biegiem czasu.

• Istotne jest ciągłe ulepszanie ram zarządzania sztuczną inteligencją przy jednoczesnym stosowaniu przepisów prawa.

Kolejnym niezbędnym działaniem jest rozpoznanie ryzyka związanego z korzystaniem z systemów AI.

• Organizacje powinny skoncentrować się na ryzyku zarówno wewnętrznym, jak i zewnętrznym.

• Kluczowa jest klasyfikacja zagrożeń, identyfikacja luk w zakresie bezpieczeństwa cyfrowego oraz działania profilaktyczne w postaci testów systemów AI.

Jeszcze innym działaniem powinno być wdrażanie dobrych praktyk i działań wspierających proces adaptacji systemów AI. Pożądanymi działaniami są:

• automatyzacja i optymalizacja zarządzania technologią sztucznej inteligencji,
• prowadzenie rzetelnej dokumentacji i rejestrów działań,
• szkolenia pracowników,
• przejrzysta komunikacja względem klientów.

Rozporządzenie AI Act jest ważnym krokiem na drodze do regulacji kwestii wprowadzania do obrotu i funkcjonowania systemów sztucznej inteligencji. Pomimo tego, że obowiązki wynikające z rozporządzenia, zgodnie z założeniem, powinny być spełniane od pierwszej połowy 2026 roku, przygotowania do jego wejścia w życie warto zacząć znacznie wcześniej.

Dotyczy to w szczególności przedsiębiorstw stosujących rozwiązania AI zaliczane do kategorii systemów wysokiego ryzyka, takich jak zautomatyzowane narzędzia do rekrutacji pracowników, które już teraz są wykorzystywane przez wiele organizacji.

W takich przypadkach konieczne będzie wdrożenie szeregu procedur i mechanizmów – oceny ryzyka (dotyczącego przetwarzanych danych osobowych) i wypracowanie właściwej dokumentacji – mówi Magdalena Bęza, Associate Director, radca prawny w KPMG Law.

Kluczowe działania organizacji w perspektywie średnio- i długoterminowej

• Prognozowanie wpływu nowych regulacji na działalność organizacji. Zachowanie przejrzystości działań i utrzymanie zaufania klientów poprzez współpracę z otoczeniem, w tym prowadzenie otwartego dialogu z innymi podmiotami z branży. Dostosowanie strategii firmy do nowych wymogów prawnych może pomóc w przewidywaniu zmian.

• Poszerzanie wiedzy na temat etycznego wykorzystywania sztucznej inteligencji. Rekomendowane jest planowanie szkoleń dotyczących AI oraz utworzenie dedykowanego zespołu odpowiedzialnego za zapewnienie zgodności z normami etycznymi i wymogami legislacyjnymi.

• Wykorzystywanie zaufanych systemów AI już na wczesnych etapach realizacji projektów. Regularny audyt oraz aktualizacje używanej technologii są istotne. Priorytetem powinno być zachowanie zgodności z zasadami etyki, również w procesach wspierania innowacyjnych rozwiązań opartych na AI.

Foto: Freepik, treść: materiał partnera