13 marca br. Parlament Europejski przyjął rozporządzenie w sprawie AI (Artificial Intelligence Act). Nowe regulacje pozwalają budować środowisko prawne, które z jednej strony zapewnia możliwość rozwoju sztucznej inteligencji, a z drugiej gwarantuje poszanowanie praw człowieka i minimalizuje zjawisko dyskryminacji. Sztuczna inteligencja jest wyznacznikiem zmian w świecie biznesu. Firmy stoją przed wyzwaniem adaptacji i wykorzystania potencjału tej przełomowej technologii. Kluczowe jest utrzymywanie tempa konkurencji w obszarze cyfryzacji i automatyzacji, przy jednoczesnym zapewnieniu bezpieczeństwa.
Wniosek legislacyjny w sprawie rozporządzenia dotyczącego sztucznej inteligencji Komisja Europejska złożyła w kwietniu 2021 roku. W grudniu 2023 roku Parlament Europejski, Rada i Komisja Europejska wypracowały kompromis w zakresie głównych założeń tego dokumentu. 13 marca 2024 roku PE przyjął rozporządzenie w sprawie AI. Nowe przepisy wprowadzają kategorię zakazanych praktyk w zakresie sztucznej inteligencji, wśród których znalazło się m.in. stosowanie rozwiązań opartych na technikach podprogowych czy takich, które dyskryminują określone grupy osób. Niedozwolone będzie także stosowanie systemów AI do śledzenia stylu życia obywateli.
Rozporządzenie AI Act stanowi pierwszy na świecie kompleksowy dokument regulujący obszar sztucznej inteligencji. Celem dokumentu jest stworzenie solidnych ram prawnych, które zapewnią bezpieczne i etyczne wykorzystanie systemów AI, chroniąc Europejczyków przed negatywnymi skutkami jej rozwoju. Ostatecznym celem jest budowanie powszechnego zaufania do tej technologii, która niesie ze sobą ogromny potencjał rozwoju zarówno dla jednostek, jak i całych organizacji.
– Rozwój generatywnej sztucznej inteligencji wiąże się z ogromnym wachlarzem zagrożeń – od klasycznego bezpieczeństwa informacji, po kwestie związane z podejmowaniem decyzji na temat finansów, kariery zawodowej, czy nawet zdrowia i życia. W obliczu tej rewolucji cyberbezpieczeństwo jest redefiniowane. Tradycyjne podejście do bezpieczeństwa systemów informatycznych jest niewystarczające. Wdrażanie sztucznej inteligencji wymaga zabezpieczenia integralności i poufności danych wykorzystywanych w procesie trenowania modelu AI. Rozwiązania oparte na sztucznej inteligencji pozyskiwane od zewnętrznych dostawców generują konieczność budowania mechanizmów zapewniających właściwy poziom zaufania oraz ochronę przed atakami na łańcuchy dostaw. W związku z szeregiem nowych wyzwań Rozporządzenie AI Act to bardzo potrzebna inicjatywa legislacyjna, dzięki której zapewnianie cyberbezpieczeństwa w procesie projektowania i wdrażania rozwiązań AI stanie się obligatoryjne – mówi Michał Kurek, Partner w Dziale Consultingu, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.
Co warto wiedzieć o założeniach rozporządzenia o sztucznej inteligencji?
Pierwszy etap wejścia w życie rozporządzenia AI Act nastąpi po upływie 20 dni od publikacji w Dzienniku Urzędowym Unii Europejskiej, a w pełni będzie ono obowiązywać 36 miesięcy po opublikowaniu, czyli w pierwszej połowie 2027 roku. Definicja sztucznej inteligencji zawarta w unijnym akcie prawnym obejmuje szeroki zakres technologii i systemów, co w rezultacie znacząco wpłynie na funkcjonowanie firm. Istotne jest, że większość obowiązków jakie nakłada regulacja, będzie musiała być spełniana już w pierwszej połowie 2026 roku. Ograniczenia dotyczące systemów AI o wysokim ryzyku będą obowiązywały już sześć miesięcy po wejściu w życie rozporządzenia, a zasady dotyczące wykorzystywania systemów AI ogólnego przeznaczenia już po 12 miesiącach.
Rozporządzenie opiera się na klasyfikacji ryzyka związanego ze sztuczną inteligencją na następujące poziomy: niedopuszczalne, wysokie, ograniczone i minimalne. Systemy AI o wysokim ryzyku będą mogły być używane, ale podlegać będą surowym ograniczeniom, które dotyczyć będą zarówno użytkowników, jak i dostawców tych systemów. Termin „dostawca” obejmuje podmioty tworzące systemy AI, w tym organizacje, które robią to na własny użytek. Ważne jest zatem zrozumienie, że organizacja może pełnić zarówno rolę użytkownika, jak i dostawcy tych systemów.
– Wdrażanie sztucznej inteligencji w przedsiębiorstwach przynosi wymierne korzyści, ale stanowi także wyzwanie, szczególnie w kontekście regulacji prawnych. Implementacja unijnych przepisów dotyczących AI nakłada na firmy obowiązek zapewnienia zgodności z surowymi standardami dotyczącymi etyki i ochrony danych. Konieczność przestrzegania tych regulacji wymaga gruntownej analizy istniejących systemów AI oraz ewentualnych modyfikacji w procesach biznesowych, aby zagwarantować zgodność z nowymi wymogami prawnymi i etycznymi. Przedsiębiorstwa muszą być świadome konsekwencji naruszania przepisów i działać proaktywnie, aby zapobiec ewentualnym nieprawidłowościom i utracie zaufania klientów – mówi Radosław Kowalski, Partner w Dziale Consultingu, Szef Zespołu Data Intelligence Solutions w KPMG w Polsce.
Jak przygotować biznes do zmian?
Wśród kluczowych działań krótkoterminowych organizacje powinny postawić na odpowiednie zarządzanie, polegające na kształtowaniu polityki firmy zgodnie z kategoryzacją ryzyka związanego z AI. Muszą brać pod uwagę, że lista systemów AI o ryzyku sklasyfikowanym jako niedopuszczalne lub wysokie może wydłużać się z biegiem czasu. Istotne jest ciągłe ulepszanie ram zarządzania sztuczną inteligencją przy jednoczesnym stosowaniu przepisów prawa.
Kolejnym niezbędnym działaniem jest rozpoznanie ryzyka związanego z korzystaniem z systemów AI. Organizacje powinny skoncentrować się na ryzyku zarówno wewnętrznym, jak i zewnętrznym. Kluczowa jest klasyfikacja zagrożeń, identyfikacja luk w zakresie bezpieczeństwa cyfrowego oraz działania profilaktyczne w postaci testów systemów AI.
Jeszcze innym działaniem powinno być wdrażanie dobrych praktyk i działań wspierających proces adaptacji systemów AI. Pożądanymi działaniami są: automatyzacja i optymalizacja zarządzania technologią sztucznej inteligencji, prowadzenie rzetelnej dokumentacji i rejestrów działań, szkolenia pracowników oraz przejrzysta komunikacja względem klientów.
– Rozporządzenie AI Act jest ważnym krokiem na drodze do regulacji kwestii wprowadzania do obrotu i funkcjonowania systemów sztucznej inteligencji. Pomimo tego, że obowiązki wynikające z rozporządzenia, zgodnie z założeniem, powinny być spełniane od pierwszej połowy 2026 roku, przygotowania do jego wejścia w życie warto zacząć znacznie wcześniej. Dotyczy to w szczególności przedsiębiorstw stosujących rozwiązania AI zaliczane do kategorii systemów wysokiego ryzyka, takich jak zautomatyzowane narzędzia do rekrutacji pracowników, które już teraz są wykorzystywane przez wiele organizacji. W takich przypadkach konieczne będzie wdrożenie szeregu procedur i mechanizmów – oceny ryzyka (dotyczącego przetwarzanych danych osobowych) i wypracowanie właściwej dokumentacji – mówi Magdalena Bęza, Associate Director, radca prawny w KPMG Law.
Kluczowe działania organizacji w perspektywie średnio- i długoterminowej
- Prognozowanie wpływu nowych regulacji na działalność organizacji. Zachowanie przejrzystości działań i utrzymanie zaufania klientów poprzez współpracę z otoczeniem, w tym prowadzenie otwartego dialogu z innymi podmiotami z branży. Dostosowanie strategii firmy do nowych wymogów prawnych może pomóc w przewidywaniu zmian.
- Poszerzanie wiedzy na temat etycznego wykorzystywania sztucznej inteligencji. Rekomendowane jest planowanie szkoleń dotyczących AI oraz utworzenie dedykowanego zespołu odpowiedzialnego za zapewnienie zgodności z normami etycznymi i wymogami legislacyjnymi.
- Wykorzystywanie zaufanych systemów AI już na wczesnych etapach realizacji projektów. Regularny audyt oraz aktualizacje używanej technologii są istotne. Priorytetem powinno być zachowanie zgodności z zasadami etyki, również w procesach wspierania innowacyjnych rozwiązań opartych na AI.
Raport KPMG “Decoding the EU AI Act: Understanding the AI Act’s impact and how you can respond” przybliża założenia rozporządzenia, które stanowi nowy, globalny standard regulujący obszar sztucznej inteligencji.
