Umělá inteligence se během posledních let stala nedílnou součástí života moderní společnosti. Najdeme ji v chytrých telefonech, ve zdravotnictví, v dopravě, bankovnictví i v každodenní komunikaci. Spolu s tím, jak roste počet jejích aplikací, se však zvyšuje i obava z možných rizik. Hovoří se o diskriminaci, netransparentním rozhodování, bezpečnostních hrozbách i o tom, jak mohou pokročilé systémy zasahovat do soukromí a základních práv. Evropská unie proto přijala vůbec první komplexní právní rámec pro oblast umělé inteligence na světě – AI Act.
Proč EU zavádí AI Act
Smyslem AI Actu není umělou inteligenci brzdit, ale nastavit pro její vývoj a využívání jasná pravidla, která posílí důvěru občanů a zároveň poskytnou podnikům právní jistotu. Evropská unie chce tímto krokem ochránit uživatele, předejít zneužití technologií a zároveň vytvořit jednotný rámec pro fungování v rámci celého vnitřního trhu. Stejně jako před lety GDPR se i AI Act má stát globálním měřítkem a standardem, který budou následovat další země.
Nařízení vstoupilo v platnost 1. srpna 2024, ale jeho jednotlivá ustanovení se budou uplatňovat postupně. Například zákaz systémů považovaných za nepřijatelné riziko platí již v roce 2025, zatímco plná pravidla pro obecně účelové modely, jako jsou velké jazykové modely či generativní AI, začali fungovat od srpna 2025. Firmy tedy mají omezený čas, aby se na nové povinnosti připravily.
Čtyři kategorie AI podle míry rizika
AI Act vychází z principu, že ne všechny systémy umělé inteligence představují stejné riziko. Proto zavádí čtyři základní kategorie:
- Zakázané systémy
- Systémy s vysokým rizikem
- Systémy s omezeným rizikem
- Systémy s minimálním rizikem
Na samém vrcholu stojí tzv. zakázané systémy. Sem spadá například social scoring občanů státními orgány, skryté manipulační techniky, které mohou lidem škodit, nebo biometrická identifikace v reálném čase na veřejných prostranstvích bez dostatečného právního rámce. Takové aplikace jsou v Evropské unii zcela zakázány.
Druhou skupinou jsou systémy s vysokým rizikem. Ty najdeme v kritické infrastruktuře, zdravotnictví, dopravě, vzdělávání nebo při náboru zaměstnanců. U těchto aplikací se vyžaduje přísné plnění celé řady povinností: od zajištění kvality dat přes podrobné dokumentace a testování až po povinný lidský dohled a uchovávání záznamů o fungování systému. Cílem je, aby se zabránilo tomu, že rozhodnutí AI bude nepředvídatelné nebo diskriminační.
Do třetí kategorie spadají systémy s omezeným rizikem, kde jde zejména o povinnost transparentnosti. Typickým příkladem jsou chatboti – uživatel musí být jasně informován o tom, že komunikuje se strojem.
A konečně nejnižší úroveň tvoří systémy s minimálním rizikem, kam patří například spamové filtry nebo AI ve videohrách. Tyto aplikace nepodléhají žádným dalším regulatorním požadavkům.
Od textů po obrázky: zvláštní pravidla pro obecně účelovou AI
Zvláštní kapitolu představují tzv. general-purpose AI, tedy systémy, které lze využít pro široké spektrum účelů – od generování textu a obrázků až po analýzu dat nebo kódování. Tyto modely, mezi něž patří například velké jazykové modely, přinášejí obrovské možnosti, ale i rizika, protože mohou být nasazeny v aplikacích spadajících do všech výše zmíněných kategorií. AI Act proto zavádí pro poskytovatele těchto modelů povinnost zajistit transparentnost, zveřejňovat technickou dokumentaci, řešit otázky autorských práv a provádět hodnocení dopadů.
Kdo nese odpovědnost a jak vysoké jsou pokuty
AI Act přesně rozlišuje role jednotlivých aktérů. Hlavní odpovědnost nese poskytovatel, tedy subjekt, který systém vyvíjí nebo uvádí na trh. Povinnosti však mají i uživatelé (tzv. deployeři), distributoři nebo dovozci systémů mimo EU. Všichni musejí zajistit, aby systémy odpovídaly svému určenému účelu, aby bylo možné dohledat jejich fungování a aby byly k dispozici dostatečné záznamy pro případné kontroly.
Za porušení pravidel hrozí vysoké sankce. Ty nejpřísnější – až 35 milionů eur nebo 7 % celosvětového obratu – se vztahují na používání zakázaných systémů. Za porušení povinností u systémů s vysokým rizikem může pokuta dosáhnout 15 milionů eur nebo 3 % obratu. I zdánlivě menší prohřešky, jako je nesplnění povinnosti transparentnosti, mohou stát firmy až 7,5 milionu eur.
Český kontext: Role NÚKIB a co čeká lokální firmy
V České republice bude hlavním dozorovým orgánem Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Ten bude mít na starosti nejen dohled, ale i metodickou podporu a koordinaci s Evropským úřadem pro umělou inteligenci. České podniky se tak musí připravit na nové povinnosti, zejména v bankovnictví, zdravotnictví nebo v IT sektoru, kde se AI řešení vyvíjejí a implementují velmi rychle.
Pro menší firmy a startupy bude velkou výzvou složitost regulace a nedostatek odborníků. Na druhou stranu právě ty organizace, které se dokáží včas adaptovat, získají konkurenční výhodu. Zodpovědné nakládání s AI, prokazatelné dodržování pravidel a transparentnost vůči zákazníkům se mohou stát silnými obchodními argumenty.
AI Act: šance i výzvy pro evropské firmy
AI Act vyvolává smíšené reakce. Jeho kritici varují, že přísné požadavky mohou zpomalit inovace a odradit investory od evropského trhu. Naopak zastánci tvrdí, že jedině jasná pravidla umožní rozvoj technologií, kterým bude veřejnost důvěřovat. A důvěra je pro rozšíření AI v celé společnosti klíčová.
Z pohledu kybernetické bezpečnosti představuje AI Act zásadní posun. Donedávna byly systémy umělé inteligence hodnoceny především z hlediska funkčnosti a obchodní hodnoty, nikoli však jako potenciální bezpečnostní hrozba. Regulace nyní vyžaduje, aby vývojáři i uživatelé AI zavedli procesy obdobné těm, které se uplatňují v oblasti informační bezpečnosti – tedy systematické řízení rizik, nezávislé audity, důsledné logování a pravidelné testování odolnosti. To je krok správným směrem, protože incidenty spojené s AI mohou mít nejen etické, ale i velmi konkrétní bezpečnostní dopady, například manipulaci s kritickou infrastrukturou nebo šíření dezinformací.
Zkušenosti z praxe ukazují, že největší slabinou bývá dodavatelský řetězec – firmy sice chrání své vlastní systémy, ale často podceňují rizika plynoucí z integrace AI komponent od externích poskytovatelů. AI Act na tento problém reaguje a vnáší do něj právní rámec: za bezpečnost nese odpovědnost poskytovatel i uživatel, což vytváří tlak na transparentnost a férové smluvní vztahy.
AI Act je revolučním krokem v regulaci technologií. Stejně jako GDPR před lety změnilo přístup k ochraně osobních údajů, i AI Act nastavuje nová pravidla hry pro umělou inteligenci. Evropské firmy nyní stojí před nelehkým úkolem: analyzovat, jakých systémů se regulace týká, nastavit interní procesy a připravit se na dohled ze strany regulátorů. Kdo to zvládne, může nejen předejít vysokým pokutám, ale také získat důvěru zákazníků a významnou konkurenční výhodu v rychle se měnícím světě umělé inteligence.
Potřebujete poradit od expertů na kyberbezpečnost? Domluvte si s námi nezávaznou schůzku a společně najdeme řešení, jak být v souladu s regulací AI Act.
