Η Ευρωπαϊκή Πράξη για την Τεχνητή Νοημοσύνη (Κανονισμός (ΕΕ) 2024/1689 – AI Act)

Η AI Act αποτελεί το πρώτο νομοθέτημα για την ΤΝ παγκοσμίως. Στόχος του είναι να διασφαλιστούν η ασφάλεια, ο δεοντολογικός χαρακτήρας και η αξιοπιστία των συστημάτων ΤΝ. Σύμφωνα με την AI Act, ως σύστημα ΤΝ ορίζεται κάθε μηχανικό σύστημα που έχει σχεδιαστεί για να λειτουργεί με διαφορετικά επίπεδα αυτονομίας και μπορεί να παρουσιάζει προσαρμοστικότητα μετά την εφαρμογή του και το οποίο, για ρητούς ή σιωπηρούς στόχους, συνάγει, από τα στοιχεία εισόδου που λαμβάνει, πώς να παράγει στοιχεία εξόδου, όπως προβλέψεις, περιεχόμενο, συστάσεις ή αποφάσεις που μπορούν να επηρεάσουν υλικά ή εικονικά περιβάλλοντα. 

Η AI Act έχει εξωεδαφικό χαρακτήρα, δηλαδή εφαρμόζεται σε παρόχους (providers) που διαθέτουν στην αγορά ή θέτουν σε λειτουργία συστήματα ΤΝ στην Ένωση, ανεξάρτητα από το αν οι εν λόγω πάροχοι είναι εγκατεστημένοι εντός της Ένωσης ή σε τρίτη χώρα, σε φορείς εφαρμογής συστημάτων ΤΝ (developers) οι οποίοι βρίσκονται εντός της Ένωσης και σε παρόχους και φορείς εφαρμογής συστημάτων ΤΝ οι οποίοι βρίσκονται σε τρίτη χώρα, όταν τα στοιχεία εξόδου που παράγει το σύστημα χρησιμοποιούνται στην Ένωση.

Η AI Act κατατάσσει τα συστήματα ΤΝ σε τρεις κατηγορίες, ανάλογα με τον κίνδυνο που ενέχουν, θεσπίζοντας διαφορετικές απαγορεύσεις – υποχρεώσεις των παρόχων / φορέων εφαρμογής, για κάθε μία κατηγορία. Επίσης, ιδιαίτερη κατηγορία συστημάτων ΤΝ είναι τα μοντέλα ΤΝ γενικού σκοπού (General Purpose AI), για τα οποία επίσης θεσπίζονται συγκεκριμένες υποχρεώσεις. Ειδικότερα:

1. Πλήρως απαγορευμένα συστήματα (Άρθρο 5 AI Act – Κατευθυντήριες Οδηγίες Επιτροπής 2025 AI ACT EU 2)

Απαγορεύονται πλήρως, διότι θέτουν σε κίνδυνο τα δικαιώματα των πολιτών:
α) Η χρήση υποσυνείδητων, χειριστικών ή παραπλανητικών τεχνικών για τη στρέβλωση της συμπεριφοράς και την εξασθένιση της λήψης τεκμηριωμένων αποφάσεων, προκαλώντας σημαντική βλάβη∙
β) Η εκμετάλλευση ευάλωτων σημείων που σχετίζονται με την ηλικία, την αναπηρία ή τις κοινωνικοοικονομικές συνθήκες για να στρεβλώσουν τη συμπεριφορά, προκαλώντας σημαντική βλάβη∙
γ) Τα συστήματα βιομετρικής κατηγοριοποίησης που συνάγουν ειδικές κατηγορίες δεδομένων (φυλή, πολιτικά φρονήματα, συμμετοχή σε συνδικαλιστική οργάνωση, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, σεξουαλική ζωή ή σεξουαλικό προσανατολισμό), εκτός από την επισήμανση ή το φιλτράρισμα νομίμως αποκτηθέντων συνόλων βιομετρικών δεδομένων ή όταν η επιβολή του νόμου κατηγοριοποιεί βιομετρικά δεδομένα∙
δ) Η κοινωνική βαθμολόγηση, δηλαδή αξιολόγηση ή ταξινόμηση ατόμων ή ομάδων με βάση την κοινωνική συμπεριφορά ή τα προσωπικά χαρακτηριστικά, προκαλώντας επιζήμια ή δυσμενή μεταχείριση των ατόμων αυτών∙
ε) Η αξιολόγηση του κινδύνου διάπραξης εγκληματικών πράξεων από ένα άτομο αποκλειστικά βάσει προφίλ ή χαρακτηριστικών της προσωπικότητας, εκτός εάν χρησιμοποιείται για να ενισχύσει τις ανθρώπινες εκτιμήσεις που βασίζονται σε αντικειμενικά, επαληθεύσιμα γεγονότα που συνδέονται άμεσα με εγκληματική δραστηριότητα∙
στ) Η σύνταξη βάσεων δεδομένων αναγνώρισης προσώπου με μη στοχευμένη απόσπαση εικόνων προσώπου από το διαδίκτυο ή υλικό από κάμερες κλειστού κυκλώματος παρακολούθησης∙
ζ) Η εξαγωγή συμπερασμάτων για συναισθήματα σε χώρους εργασίας ή εκπαιδευτικά ιδρύματα, εκτός από ιατρικούς λόγους ή λόγους ασφαλείας∙
η) Η “σε πραγματικό χρόνο” απομακρυσμένη βιομετρική ταυτοποίηση σε δημόσια προσβάσιμους χώρους για την επιβολή του νόμου, εκτός εάν: αφορά σε
- αναζήτηση αγνοουμένων, θυμάτων απαγωγής και ατόμων που έχουν πέσει θύματα εμπορίας ανθρώπων ή σεξουαλικής εκμετάλλευσης,
- αποτροπή ουσιαστικής και άμεσης απειλής για τη ζωή ή προβλέψιμης τρομοκρατικής επίθεσης – ή,
- ταυτοποίηση υπόπτων για σοβαρά εγκλήματα (π.χ. δολοφονίες, βιασμοί, ένοπλες ληστείες, διακίνηση ναρκωτικών και παράνομων όπλων, οργανωμένο έγκλημα, περιβαλλοντικό έγκλημα κ.λπ.).

Έναρξη ισχύος: 2 Φεβρουαρίου 2025

Κάθε πάροχος / φορέας εφαρμογής συστήματος ΤΝ πρέπει άμεσα να ελέγξει εάν κάποιο προϊόν ΤΝ ή κάποια λειτουργία της εμπίπτει στις απαγορευμένες πρακτικές και εάν η απάντηση είναι καταφατική, τότε πρέπει να θέσει το συγκεκριμένο σύστημα εκτός λειτουργίας.

2. Συστήματα υψηλού κινδύνου (Άρθρο 6 AI Act)

Eπιτρέπονται, εφόσον τηρούνται κάποιες συγκεκριμένες υποχρεώσεις, λόγω της σημαντικής δυνητικής βλάβης που μπορεί να προκαλέσουν στην υγεία, την ασφάλεια, τα θεμελιώδη δικαιώματα, το περιβάλλον, τη δημοκρατία και το κράτος δικαίου.

Ως συστήματα ΤΝ υψηλού κινδύνου προσδιορίζονται  εκείνα που λειτουργούν ως:
Α. Στοιχείο ασφάλειας προϊόντος που ρυθμίζεται από ειδική νομοθεσία της ΕΕ, όπως απαριθμείται στο Παράρτημα I της AI Act, και υποχρεούνται να υποβληθούν σε εξωτερική αξιολόγηση συμμόρφωσης σύμφωνα με τις σχετικές πράξεις του Παραρτήματος I (π.χ. Μηχανήματα, Ιατροτεχνολογικά προϊόντα, Παιχνίδια, Ανελκυστήρες, Εξοπλισμός υπό πίεση, Σκάφη αναψυχής, Ασφάλεια πολιτικής αεροπορίας)·
Ή
Β. Συνδέονται με τις περιπτώσεις χρήσης που προβλέπονται στο Παράρτημα III της AI Act.

Εξαιρέσεις: Τα συστήματα ΤΝ δεν θεωρούνται υψηλού κινδύνου εάν δεν ενέχουν σημαντικό κίνδυνο πρόκλησης βλάβης στην υγεία, την ασφάλεια ή τα θεμελιώδη δικαιώματα φυσικών προσώπων, μεταξύ άλλων όταν δεν επηρεάζουν ουσιωδώς το αποτέλεσμα της λήψης απόφασης. Αυτό ισχύει εφόσον συντρέχει ένα ή περισσότερα από τα ακόλουθα:
• Το σύστημα ΤΝ εκτελεί μια στενά οριοθετημένη διαδικαστική εργασία.
• Το σύστημα ΤΝ προορίζεται να βελτιώσει το αποτέλεσμα μιας ήδη ολοκληρωμένης ανθρώπινης δραστηριότητας.
• Εντοπίζει πρότυπα ή αποκλίσεις στη διαδικασία λήψης αποφάσεων, χωρίς πρόθεση να υποκαταστήσει ή να επηρεάσει την προϋπάρχουσα ανθρώπινη κρίση, και με επαρκή ανθρώπινη εποπτεία.
• Εκτελεί προκαταρκτική εργασία για αξιολόγηση που είναι σημαντική για τους σκοπούς που προβλέπονται στο Παράρτημα III.
Υποχρέωση: Οι πάροχοι συστημάτων ΤΝ που εμπίπτουν στο Παράρτημα III και εκτιμούν ότι το σύστημά τους δεν συνιστά σύστημα υψηλού κινδύνου, οφείλουν να τεκμηριώνουν τη σχετική αξιολόγηση πριν από τη διάθεσή του στην αγορά ή την παροχή της υπηρεσίας.

Εξαίρεση της εξαίρεσης: Τα συστήματα ΤΝ που διενεργούν κατάρτιση προφίλ (profiling) φυσικών προσώπων — δηλαδή αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση διαφόρων πτυχών της ζωής ενός ατόμου, όπως η επαγγελματική απόδοση, η οικονομική κατάσταση, η υγεία, τα προσωπικά ενδιαφέροντα, η αξιοπιστία, η συμπεριφορά, οι τοποθεσίες ή οι μετακινήσεις — είναι πολύ πιθανό να χαρακτηριστούν ως συστήματα υψηλού κινδύνου.

Απαρίθμηση συστημάτων ΤΝ από το Παράρτημα ΙΙΙ
α) Μη απαγορευμένα βιομετρικά στοιχεία (απομακρυσμένα συστήματα βιομετρικής ταυτοποίησης, συστήματα βιομετρικής κατηγοριοποίησης που συμπεραίνουν ευαίσθητα ή προστατευόμενα χαρακτηριστικά ή ιδιότητες, συστήματα αναγνώρισης συναισθημάτων).
β) Κρίσιμες υποδομές (στοιχεία ασφάλειας στη διαχείριση και λειτουργία κρίσιμων ψηφιακών υποδομών, οδικής κυκλοφορίας και την παροχή νερού, φυσικού αερίου, θέρμανσης και ηλεκτρικής ενέργειας).
γ) Εκπαίδευση και επαγγελματική κατάρτιση (καθορισμός πρόσβασης, εισαγωγής ή ανάθεσης εκπαιδευτικής και επαγγελματικής κατάρτισης σε όλα τα επίπεδα, αξιολόγηση μαθησιακών αποτελεσμάτων και του κατάλληλου επιπέδου εκπαίδευσης, παρακολούθηση και εντοπισμός απαγορευμένης συμπεριφοράς των μαθητών κατά τη διάρκεια των εξετάσεων).
δ) Απασχόληση, διαχείριση των εργαζομένων και πρόσβαση στην αυτοαπασχόληση (συστήματα τεχνητής νοημοσύνης που χρησιμοποιούνται για την πρόσληψη ή την επιλογή και την αξιολόγηση των υποψηφίων, προαγωγή και καταγγελία συμβάσεων, κατανομή καθηκόντων με βάση χαρακτηριστικά ή ιδιότητες της προσωπικότητας και τη συμπεριφορά, και παρακολούθηση και αξιολόγηση της απόδοσης).
ε) Πρόσβαση σε βασικές δημόσιες και ιδιωτικές υπηρεσίες και απόλαυση αυτών (συστήματα ΤΝ που χρησιμοποιούνται από τις δημόσιες αρχές για την αξιολόγηση της επιλεξιμότητας σε παροχές και υπηρεσίες, αξιολόγηση της πιστοληπτικής ικανότητας, εκτός από τον εντοπισμό οικονομικής απάτης, αξιολόγηση και ταξινόμηση κλήσεων έκτακτης ανάγκης, συμπεριλαμβανομένης της ιεράρχησης των αποστολών της αστυνομίας, της πυροσβεστικής, της ιατρικής βοήθειας και υπηρεσίες διαλογής επειγόντων ασθενών, αξιολογήσεις κινδύνων και τιμολόγηση στις ασφαλίσεις υγείας και ζωής).
στ) Επιβολή του νόμου (συστήματα τεχνητής νοημοσύνης που χρησιμοποιούνται για την αξιολόγηση του κινδύνου ενός ατόμου να γίνει θύμα εγκλήματος, πολυγράφοι, αξιολόγηση της αξιοπιστίας αποδεικτικών στοιχείων κατά τη διάρκεια ποινικών ερευνών ή διώξεων, εκτίμηση του κινδύνου ενός ατόμου να διαπράξει ή να επαναλάβει αξιόποινη πράξη όχι μόνο με βάση την κατάρτιση προφίλ ή την αξιολόγηση χαρακτηριστικών της προσωπικότητας ή της προηγούμενης εγκληματικής συμπεριφοράς, δημιουργία προφίλ κατά τη διάρκεια ποινικών ερευνών, ανακρίσεων ή διώξεων).
ζ) Διαχείριση της μετανάστευσης, του ασύλου και των συνοριακών ελέγχων (πολυγράφοι, αξιολογήσεις παράτυπης μετανάστευσης ή κινδύνων για την υγεία, εξέταση αιτήσεων ασύλου, θεωρήσεων και αδειών διαμονής, καθώς και των σχετικών καταγγελιών που αφορούν με την επιλεξιμότητα, εντοπισμός, αναγνώριση ή ταυτοποίηση ατόμων, εκτός από την επαλήθευση ταξιδιωτικών εγγράφων).
η) Απονομή δικαιοσύνης και δημοκρατικές διαδικασίες (συστήματα τεχνητής νοημοσύνης που χρησιμοποιούνται για την έρευνα και την ερμηνεία γεγονότων και την εφαρμογή του νόμου σε συγκεκριμένα γεγονότα ή χρησιμοποιούνται στην εναλλακτική επίλυση διαφορών).

Υποχρεώσεις αναφορικά με τα συστήματα ΤΝ υψηλού κινδύνου
Οι περισσότερες υποχρεώσεις αφορούν στους παρόχους των συστημάτων ΤΝ, διότι αυτοί ελέγχουν τον σχεδιασμό των συστημάτων και είναι οι παρακάτω:
• Σύστημα διαχείρισης κινδύνων - Risk Management System (Άρθρο 9). Περιλαμβάνει εντοπισμό των κινδύνων για τα θεμελιώδη δικαιώματα, αξιολόγηση και εκτίμησή τους, λήψη μέτρων μετριασμού και συνεχή επανεκτίμησή τους.
• Διακυβέρνηση και δεδομένων - Data Governance (Άρθρο 10). Τα δεδομένα εκπαίδευσης των συστημάτων ΤΝ, επικύρωσης και δοκιμών, πρέπει να έχουν υψηλή ποιότητα, επάρκεια και αντιπροσωπευτικότητα, να λαμβάνονται μέτρα για περιορισμό των μεροληψιών και να γίνεται κατάλληλη τεκμηρίωση της προέλευσής τους (ανάγκη ταυτόχρονης συμμόρφωσης με ΓΚΠΔ / GDPR).
• Τεχνική τεκμηρίωση - Technical Documentation (Άρθρο 11). Σύνταξη αναλυτικού τεχνικού φακέλου με ακριβή περιγραφή του τρόπου λειτουργίας του συστήματος ΤΝ.
• Τήρηση αρχείων / Καταγραφή - Logging (Άρθρο 12). Μηχανισμοί καταγραφής της λειτουργίας των συστημάτων ΤΝ, ώστε να είναι δυνατός ο έλεγχος, η διερεύνηση περιστατικών και η απόδειξη συμμόρφωσης.
• Διαφάνεια (Άρθρο 13). Παροχή στους φορείς εφαρμογής όλων των απαιτούμενων πληροφοριών, ώστε να είναι σε θέση να ερμηνεύουν τα στοιχεία εξόδου ενός συστήματος και να τα χρησιμοποιούν κατάλληλα. Υποχρέωση συνοδείας των συστημάτων από οδηγίες χρήσης, οι οποίες περιλαμβάνουν συγκεκριμένες.
• Ανθρώπινη εποπτεία (Άρθρο 14). Τα συστήματα υψηλού κινδύνου πρέπει να σχεδιάζονται έτσι ώστε να επιτρέπουν ουσιαστική ανθρώπινη παρέμβαση.
• Ακρίβεια (Άρθρο 15)
• Ανθεκτικότητα (Άρθρο 15)
• Κυβερνοασφάλεια (Άρθρο 15).

Τα συστήματα ΤΝ υψηλού κινδύνου σχεδιάζονται και αναπτύσσονται κατά τρόπο ώστε να επιτυγχάνουν κατάλληλο επίπεδο ακρίβειας, στιβαρότητας και κυβερνοασφάλειας και να λειτουργούν με συνέπεια ως προς αυτές τις πτυχές καθ’ όλη τη διάρκεια του κύκλου ζωής τους.

• Διαδικασία αξιολόγησης του συστήματος ΤΝ, πριν από τη διάθεσή του στην αγορά (Άρθρο 23)
• Καταχώριση σε ευρωπαϊκή βάση δεδομένων για ορισμένα συστήματα (Άρθρο 23)

Υπάρχουν ωστόσο και κάποιες υποχρεώσεις για τους φορείς των συστημάτων ΤΝ, οι οποίοι χρησιμοποιούν ένα σύστημα ΤΝ υψηλού κινδύνου για τη δραστηριότητά τους, ακόμη και εάν δεν το έχουν αναπτύξει ίδιοι (Άρθρο 26):
• Χρήση του συστήματος σύμφωνα με τις οδηγίες του παρόχου
• Διασφάλιση ανθρώπινης εποπτείας, όπου απαιτείται
• Παρακολούθηση της λειτουργίας του συστήματος
• Αναφορά σοβαρών περιστατικών στον provider ή στις αρχές
• Διασφάλιση ότι τα δεδομένα εισόδου είναι κατάλληλα
• Τήρηση καταγραφών (logs) όταν αυτό απαιτείται
• Συμμόρφωση με υποχρεώσεις διαφάνειας προς τους χρήστες.

Εφαρμογή: 2 Αυγούστου 2026

Κάθε πάροχος / φορέας εφαρμογής συστήματος ΤΝ πρέπει άμεσα να ελέγξει εάν κάποιο προϊόν ΤΝ ή κάποια λειτουργία της εμπίπτει στις παραπάνω επικίνδυνες πρακτικές του άρθρου 6 και εάν η απάντηση είναι καταφατική, να συμμορφωθεί με τις συγκεκριμένες υποχρεώσεις.

3. Συστήματα περιορισμένου κινδύνου (λ.χ. generative AI, chatbots) - Υποχρεώσεις διαφάνειας (Άρθρο 50)

• Όταν το σύστημα ΤΝ αλληλεπιδρά άμεσα με φυσικά πρόσωπα, υποχρέωση ενημέρωσης του χρήση, ότι αλληλεπιδρά με σύστημα ΤΝ
• Όταν παράγεται συνθετικό περιεχόμενο, υποχρέωση επισήμανσης, ότι τα στοιχεία εξόδου έχουν παραχθεί ή υποστεί χειρισμό τεχνητά
• Ίδια υποχρέωση το σύστημα δημιουργεί ή διαχειρίζεται τα deep fakes

Εφαρμογή: 2 Αυγούστου 2026

Κάθε πάροχος / φορέας εφαρμογής συστήματος ΤΝ πρέπει άμεσα να ελέγξει εάν κάποιο προϊόν ΤΝ ή κάποια λειτουργία της εμπίπτει στις παραπάνω πρακτικές και εάν η απάντηση είναι καταφατική, να συμμορφωθεί με τις συγκεκριμένες υποχρεώσεις.

4. Μοντέλα ΤΝ γενικού σκοπού (General Purpose AI) – Κεφάλαιο V

Ως μοντέλο ΤΝ γενικού σκοπού ορίζεται, μεταξύ άλλων όταν ένα τέτοιο μοντέλο ΤΝ έχει εκπαιδευτεί με μεγάλο όγκο δεδομένων χρησιμοποιώντας αυτοεποπτεία σε κλίμακα, το οποίο παρουσιάζει σημαντική γενικότητα και είναι ικανό να εκτελεί αποτελεσματικά ευρύ φάσμα διακριτών καθηκόντων, ανεξάρτητα από τον τρόπο με τον οποίο το μοντέλο διατίθεται στην αγορά και μπορεί να ενσωματωθεί σε διάφορα κατάντη συστήματα ή εφαρμογές· αυτό δεν καλύπτει μοντέλα ΤΝ που χρησιμοποιούνται πριν από τη διάθεσή τους στην αγορά για δραστηριότητες έρευνας, ανάπτυξης και κατασκευής πρωτοτύπων·

Ως μοντέλο ΤΝ γενικού σκοπού με συστημικό κίνδυνο, ορίζεται ένα μοντέλο, αν α) έχει ικανότητες υψηλού αντικτύπου, αξιολογούμενες βάσει κατάλληλων τεχνικών εργαλείων και μεθοδολογιών, συμπεριλαμβανομένων δεικτών και κριτηρίων αναφοράς· β) βάσει απόφασης της Επιτροπής, αυτεπαγγέλτως ή κατόπιν ειδικής προειδοποίησης από την επιστημονική ομάδα, έχει ικανότητες ή αντίκτυπο ισοδύναμα με τα οριζόμενα στο στοιχείο α), λαμβανομένων υπόψη των κριτηρίων που ορίζονται στο παράρτημα XIII.

Γενικές Υποχρεώσεις
• Τεχνική τεκμηρίωση και αξιολόγηση (Άρθρο 53(1)(α))
• Κοινοποίηση πληροφοριών σε παρόχους συστημάτων ΤΝ (Άρθρο 53(1)(β))
Οι παραπάνω υποχρεώσεις δεν ισχύουν για τους παρόχους μοντέλων ΤΝ που διατίθενται βάσει δωρεάν και άδειας ανοικτού κώδικα. Η εξαίρεση αυτή δεν ισχύει για μοντέλα ΤΝ γενικού σκοπού με συστημικούς κινδύνους.
• Συμμόρφωση με την πνευματική ιδιοκτησία και συγγενικά δικαιώματα (Άρθρο 53(1)(γ))
• Διαφάνεια σχετικά με τα δεδομένα εκπαίδευσης (Άρθρο 53(1)(δ))
• Συνεργασία με τις αρμόδιες αρχές (Άρθρο 53(3))
• Κώδικες δεοντολογίας και εναρμονισμένα πρότυπα (Άρθρο 53(4))
• Εμπιστευτικότητα και προστασία δεδομένων (Άρθρο 53(7))

Υποχρεώσεις μοντέλων ΤΝ γενικού σκοπού με συστημικό κίνδυνο
• Αξιολόγηση μοντέλου και δοκιμές αντιπαράθεσης (adversarial testing) (Άρθρο 55(1)(α))
• Εκτίμηση και μετριασμός κινδύνου (Άρθρο 55(1)(β))
• Αναφορά περιστατικών και διορθωτικά μέτρα (Άρθρο 55(1)(γ))
• Μέτρα κυβερνοασφάλειας (Άρθρο 55(1)(δ))
• Συμμόρφωση μέσω κωδίκων πρακτικής (Άρθρο 55(2))
• Υποχρεώσεις εμπιστευτικότητας (Άρθρο 55(3))

Εφαρμογή: 2 Αυγούστου 2025

Κάθε πάροχος / φορέας εφαρμογής μοντέλου ΤΝ γενικού σκοπού πρέπει άμεσα να συμμορφωθεί με τις υποχρεώσεις, οι οποίες αυξάνονται εάν το σύστημα έχε συστημικό κίνδυνο.

Όσον αφορά στα λοιπά συστήματα ΤΝ που δεν εμπίπτουν στις παραπάνω κατηγορίες, τα οποία είναι και τα περισσότερα, όπως λ.χ. παιχνίδια και φίλτρα ανεπιθύμητων μηνυμάτων που λειτουργούν με ΤΝ, αυτά μπορούν να χρησιμοποιούνται ελεύθερα. Δεν υπόκεινται σε ρυθμίσεις ούτε επηρεάζονται από την AI Act.

5. Κυρώσεις (Άρθρο 99)
Τα κράτη μέλη καθορίζουν τους κανόνες σχετικά με τις κυρώσεις, συμπεριλαμβανομένων των διοικητικών προστίμων, οι οποίες επιβάλλονται σε περίπτωση παράβασης της AI Act. Η AI Act θέτει το όριο των διοικητικών προστίμων, ως εξής:

• 35 εκατομμύρια ευρώ ή 7% παγκόσμιου κύκλου εργασιών για τις παραβάσεις μη συμμόρφωσης με την απαγόρευση των πρακτικών ΤΝ που αναφέρονται στο άρθρο 5 και μη συμμόρφωσης του συστήματος ΤΝ με τις απαιτήσεις που ορίζονται στο άρθρο 10
• 15 εκατομμύρια ευρώ ή 3% παγκόσμιου κύκλου εργασιών για μη συμμόρφωση του συστήματος ΤΝ με οποιεσδήποτε απαιτήσεις ή υποχρεώσεις, πλην εκείνων που ορίζονται στο άρθρο 5
• 7,5 εκατομμύρια ευρώ ή 1,5% παγκόσμιου κύκλου εργασιών για παροχή ανακριβών, ελλιπών ή παραπλανητικών πληροφοριών σε κοινοποιημένους οργανισμούς και εθνικές αρμόδιες αρχές

6. Υποχρεώσεις επιχειρήσεων για συμμόρφωση με την AI Act
Η συμμόρφωση με τον AI Act απαιτεί μια συστηματική διαδικασία εντοπισμού, αξιολόγησης και διαχείρισης κινδύνων που σχετίζονται με τη χρήση συστημάτων τεχνητής νοημοσύνης. Μια επιχείρηση που αναπτύσσει συστήματα ΤΝ ή τα χρησιμοποιεί για τη δραστηριότητά της (provider/developer) θα πρέπει να ακολουθήσει τα ακόλουθα πρακτικά βήματα:

α. Χαρτογράφηση συστημάτων ΤΝ (AI Mapping)
Απαιτείται πλήρης καταγραφή όλων των συστημάτων ΤΝ που χρησιμοποιεί ή αναπτύσσει η επιχείρηση (Μητρώο συστημάτων ΤΝ). Η χαρτογράφηση πρέπει να περιλαμβάνει:
• ποια συστήματα ΤΝ χρησιμοποιούνται στην επιχείρηση,
• ποιος είναι ο ρόλος της επιχείρησης (λ.χ. provider, deployer, importer ή distributor),
• σε ποιον επιχειρηματικό τομέα χρησιμοποιείται το σύστημα (λ.χ. marketing, risk management, cybersecurity),
• αν το σύστημα εμπίπτει στις κατηγορίες υψηλού κινδύνου που απαριθμούνται στο Παράρτημα III της AI Act,
• αν πρόκειται για γενικής χρήσης μοντέλα ΤΝ ή για εφαρμογές με ειδική λειτουργία

β. Ταξινόμηση κινδύνου (Risk Classification)
Μετά τη χαρτογράφηση, κάθε σύστημα ΤΝ πρέπει να κατηγοριοποιηθεί σύμφωνα με την προσέγγιση κινδύνου του AI Act. Η σωστή κατηγοριοποίηση καθορίζει το επίπεδο κανονιστικών υποχρεώσεων που πρέπει να τηρηθούν.

γ. Δημιουργία πλαισίου διακυβέρνησης ΤΝ (AI Governance Framework)
Οι επιχειρήσεις πρέπει να αναπτύξουν ένα εσωτερικό σύστημα διακυβέρνησης για τη χρήση ΤΝ. Το πλαίσιο αυτό θα πρέπει να περιλαμβάνει:
• πολιτική συμμόρφωσης για την ΤΝ (AI compliance policy),
• μητρώο συστημάτων ΤΝ (AI inventory registry),
• διαδικασία διαχείρισης κινδύνου (AI risk management procedure),
• διαδικασία διαχείρισης περιστατικών και παραβιάσεων (AI incident response procedure),
• μηχανισμούς εσωτερικού ελέγχου και εποπτείας των συστημάτων ΤΝ,
• εκπαίδευση προσωπικού σχετικά με τη χρήση και τους κινδύνους της ΤΝ.

δ. Ειδικές υποχρεώσεις για συστήματα υψηλού κινδύνου (High-Risk AI)
Για τα συστήματα που χαρακτηρίζονται ως υψηλού κινδύνου, ο AI Act επιβάλλει αυστηρότερες απαιτήσεις συμμόρφωσης, οι οποίες έχουν εκτεθεί αναλυτικότερα παραπάνω. Οι υποχρεώσεις αυτές ισχύουν τόσο για τους providers όσο και για τους deployers των συστημάτων υψηλού κινδύνου.

ε. Ευθυγράμμιση συμβάσεων και προμηθευτών
Η συμμόρφωση με τον AI Act επηρεάζει και τις συμβατικές σχέσεις της επιχείρησης. Είναι απαραίτητο να εξεταστούν και να επικαιροποιηθούν:
• συμβάσεις με προμηθευτές συστημάτων ΤΝ,
• συμφωνίες με SaaS παρόχους,
• όροι χρήσης συστημάτων ΤΝ,
• ρήτρες σχετικά με:
- συμμόρφωση με τον AI Act,
- ευθύνη και αποζημίωση,
- πρόσβαση σε τεχνική τεκμηρίωση,
- υποχρεώσεις ενημέρωσης για περιστατικά.

Η συμβατική κατανομή ευθύνης είναι κρίσιμη, ιδίως όταν η επιχείρηση δεν είναι ο provider αλλά ο deployer του συστήματος.

στ. Συνεχής παρακολούθηση και συμμόρφωση (Ongoing Monitoring)
Η συμμόρφωση με τον AI Act δεν αποτελεί εφάπαξ υποχρέωση, αλλά διαρκή υποχρέωση καθ’ όλο τον κύκλο ζωής του συστήματος. Οι επιχειρήσεις πρέπει να εφαρμόζουν:
• συνεχή παρακολούθηση της απόδοσης των συστημάτων ΤΝ,
• τακτικούς ελέγχους συμμόρφωσης,
• διαδικασίες αναφοράς σοβαρών περιστατικών στις αρμόδιες αρχές,
• περιοδικές επανεκτιμήσεις κινδύνου όταν τροποποιείται το σύστημα ή το περιβάλλον χρήσης.

Περαιτέρω ανάγνωση:

Κανονισμός (ΕΕ) 2024/1689 (AI Act)

Κατευθυντήριες Γραμμές της Ευρωπαϊκής Επιτροπής

Ο Ευρωπαϊκός Κανονισμός για την Τεχνητή Νοημοσύνη - Φερενίκη Παναγοπούλου