
Érkezik az AI Act az Európai Unió első átfogó mesterséges intelligencia szabályozása. Célja, hogy segítsen a vállalatoknak és a szervezeteknek csökkenteni az AI okozta kockázatokat.
Nem feltétlenül jelent minden vállalat számára korlátozást. Míg a magas kockázatú rendszerekre szigorú követelmények vonatkoznak, a korlátozott kockázatú rendszereknél átláthatósági kötelezettség él. A minimális kockázatú rendszerek — a ma használt AI nagy része — szabadon működhetnek.
Ez a cikk a technikai oldalt veszi sorra: kikre vonatkozik, mik a határidők, és milyen IT-feltételeket kell teljesíteni a megfeleléshez.
Kikre vonatkozik?
A szabályozás hatálya tágabb, mint elsőre tűnik. A szabályozás az AI-fejlesztőkön túl a felhasználó cégeket is eléri.
Az AI Act két fő szerepet különböztet meg. A szolgáltató (provider) az, aki AI-rendszert fejleszt vagy forgalomba hoz a saját neve alatt. Az üzembe helyező (deployer) az, aki egy kész AI-rendszert a saját tevékenységében használ. A legtöbb nagyvállalat ebbe a második csoportba esik.
Három kérdés segít eldönteni, hogy érintettek-e:
- Használ a cég olyan AI-rendszert, amely emberekről hoz vagy támogat döntést? Ide tartozik a hitelbírálat, a HR-szűrés, a biztosítási kockázatértékelés. Ezek tipikusan a magas kockázatú kategóriába esnek.
- Fejleszt vagy testreszab a cég saját AI-megoldást? Ekkor szolgáltatói kötelezettségek is felmerülhetnek, a puszta használaton túl.
- Közvetlen kapcsolatba lép a cég AI-n keresztül az ügyfeleivel? Egy ügyfélszolgálati chatbot vagy egy generatív tartalmat előállító eszköz átláthatósági kötelezettséget hoz. Az érintetteknek tudniuk kell, hogy géppel beszélnek.
Ugyanaz a nagy nyelvi modell lehet minimális kockázatú egy belső összegző eszközben, és magas kockázatú egy önéletrajz-szűrő folyamatban. A besorolást mindig a konkrét felhasználás dönti el.
Mik a határidők?
Az AI Act fokozatosan lép életbe, és 2026 nyarán ér el egy fontos ponthoz. A friss módosítások néhány határidőt kitoltak, másokat érintetlenül hagytak. Érdemes tudni, melyik mikor lép hatályba.
Ami már alkalmazandó:
- A tiltott gyakorlatok — például a társadalmi pontozás — 2025. február 2. óta.
- Az általános célú (GPAI) modellekre vonatkozó szabályok és a felügyeleti struktúra 2025. augusztus 2. óta.
Ami 2026-ban élesedik:
- 2026. augusztus 2. — az átláthatósági szabályok. A felhasználót tájékoztatni kell, ha AI-rendszerrel áll kapcsolatban. Ezen a napon kapják meg a nemzeti piacfelügyeleti hatóságok a teljes körű ellenőrzési és bírságolási jogkört.
- 2026. december 2. — két új tiltott gyakorlat: a beleegyezés nélküli intim tartalmak és a gyermekbántalmazást ábrázoló anyagok AI-val történő előállítása. Ugyanettől a naptól a 2026 augusztusa előtt piacra került generatív rendszereknél kötelező a szintetikus tartalom gépi olvasható jelölése.
Ami később:
- 2027. december 2. — az önálló, magas kockázatú (Annex III.) rendszerek: hitelbírálat, HR-szűrés, biometrikus azonosítás, kritikus infrastruktúra.
- 2028. augusztus 2. — a szabályozott termékekbe ágyazott (Annex I.) magas kockázatú rendszerek.
A halasztás valós mozgásteret ad a legösszetettebb kötelezettségeknél. A magas kockázatú rendszerek megfelelése viszont kockázatértékelést, technikai dokumentációt és megfelelőségértékelést igényel. Ez a munka hónapokban mérhető. A 2027-es dátum a befejezés határideje, nem a kezdésé.
Fontos tudni: az AI Act határidőit egyszer már módosították. A magas kockázatú rendszerek kötelezettségeit a Digital Omnibus csomag tolta ki, amelyet a Tanács 2026. június 29-én fogadott el. A fenti dátumok ezt a jelenlegi állapotot tükrözik. További módosítás a jövőben sem kizárt, ezért a végleges határidőket érdemes hivatalos EU-s forrásból ellenőrizni. A jelen tájékoztató nem minősül jogi tanácsadásnak.
Hova tartozik a saját rendszerünk?
Az AI Act a felhasználás kockázatát osztályozza, nem magát a technológiát. Ugyanaz a rendszer eltérő kategóriába eshet attól függően, mire használják. Négy szint van, és a besorolás dönti el a kötelezettségeket. Érdemes végigvenni, a saját rendszereink hova illeszkednek.
Elfogadhatatlan kockázat. Ezt a kategóriát egyetlen cég sem használhatja: a hozzá tartozó gyakorlatok teljesen ki vannak zárva az uniós piacról, mert összeegyeztethetetlenek az alapvető jogokkal. Ide tartozik a társadalmi pontozás, a tudatalatti manipuláció és a nyilvános terekben végzett valós idejű biometrikus azonosítás. A tilalom 2025. február 2. óta él, mentesülés nélkül.
Magas kockázat. Ide sok nagyvállalat besorolható, sokszor a vártnál könnyebben. Az a cég érintett, amely AI-t használ hitelbírálatban, HR-szűrésben, biztosítási kockázatértékelésben, biometrikus azonosításban vagy kritikus infrastruktúra irányításában. Ezek a rendszerek forgalomban maradhatnak, de szigorú feltételekkel — kockázatkezelés, naplózás, emberi felügyelet és részletes dokumentáció mellett. A kötelezettségek túlnyomó része erre a kategóriára épül.
Korlátozott kockázat. Ebbe a körbe az a cég esik, amely ügyfélszolgálati chatbotot üzemeltet vagy generatív eszközzel állít elő tartalmat. A követelmény az átláthatóság: a felhasználónak tudnia kell, hogy géppel kommunikál, a mesterségesen előállított tartalmat pedig jelölni kell. A megfelelés itt lényegesen könnyebb, teljes körű megfelelőségértékelés nélkül.
Minimális kockázat. A legtöbb cég mindennapi AI-használata ide tartozik — a spamszűrőktől az ajánlórendszereken át a készletoptimalizálásig. A rendelet nem ír elő rájuk külön kötelezettséget. Az önkéntes magatartási kódex követése ajánlott, kötelezettség nélkül.
Mit kell teljesíteni?
A kötelezettségek zöme a magas kockázatú kategóriára esik. Első ránézésre hosszú a lista, de van benne egy visszatérő minta: a követelmények nagy része arról szól, hogy a rendszer működését monitorozni, dokumentálni és felügyelni kell, folyamatosan, éles üzemben.
Automatikus naplózás. A szabályozás előírja, hogy a magas kockázatú rendszer a teljes életciklusa alatt automatikusan rögzítse a működését. Ez a naplózás adja a megfelelőség bizonyítékát: enélkül utólag nem rekonstruálható, mi és miért történt. IT-oldalon ez folyamatos, megbízható eseménynaplózást jelent, amely az AI-rendszer teljes útját lefedi.
Emberi felügyelet. A magas kockázatú rendszereket úgy kell megtervezni, hogy egy ember érdemben felügyelhesse, és szükség esetén legyen lehetősége a beavatkozásra. Ehhez a rendszer viselkedésének átláthatónak kell lennie: valós idejű rálátás, riasztások és anomália jelzés kell ahhoz, hogy az illetékes időben észrevegye, ha valami elromlik.
Pontosság, robusztusság, kiberbiztonság: három követelmény, amelyeknek éles üzemben egyszerre kell teljesülniük. A rendszernek megbízhatóan és kiszámíthatóan kell működnie, és ne legyen manipulálható. Éles üzemben ez azt jelenti, hogy folyamatosan figyelni kell a pontosságot, a válaszidőt, a hibaarányt és a modell viselkedésének elcsúszását (drift). A teljesítményromlás csak akkor kezelhető, ha idejében láthatóvá válik.
Forgalomba hozatal utáni felügyelet. A szolgáltatónak a piacra kerülés után is aktívan monitoroznia kell a rendszert, és a súlyos incidenseket jelentenie kell a hatóság felé. Ez folyamatos éles üzemi megfigyelést és működő incidenskezelési folyamatot feltételez.
Ennek a négy kötelezettségnek közös technikai alapja van: látni kell, mit csinál az AI-rendszer, folyamatosan, éles környezetben.
Itt lép be az AI Observability. A fekete dobozból így átlátható, dokumentálható működés lesz, a megfelelés pedig a jól felügyelt üzemeltetés természetes eredménye lesz, külön energiabefektetés nélkül.
A nem megfelelés következményei
A szabályozás elvárásokat fogalmaz meg, a be nem tartásukhoz pedig érzékeny szankciókat rendel. A bírságok sávosak: a jogsértés súlyához igazodnak. A rendelet minden sávnál megad egy összeget és egy árbevétel-arányt is — mindig a magasabb érték az irányadó.
A legsúlyosabb sáv: a tiltott gyakorlatok. A tiltott AI-gyakorlatok alkalmazása akár 35 millió euró vagy a globális éves árbevétel 7%-a is lehet.
A magas kockázatú és az átláthatósági kötelezettségek megsértése. A magas kockázatú rendszerekre vonatkozó előírások vagy az átláthatósági szabályok be nem tartása akár 15 millió euró vagy az árbevétel 3%-a.
Hiányos vagy félrevezető tájékoztatás. Ha egy szervezet pontatlan, hiányos vagy megtévesztő adatot szolgáltat a hatóságoknak, a bírság akár 7,5 millió euró vagy az árbevétel 1%-a.
A pénzbírság mellett a hatóságok elrendelhetik a rendszer piacról való visszavonását vagy a működés korlátozását is. A teljes körű ellenőrzési és bírságolási jogkör 2026. augusztus 2-tól a nemzeti piacfelügyeleti hatóságokat illeti — ettől a naptól zárul a türelmi időszak.
Kkv-k és induló vállalkozások esetében a két érték közül az alacsonyabb az irányadó, így a szankció arányos marad a szervezet méretével.
Az observability a megfelelés legfőbb feltétele
Az AI Act hosszú követelménylistája végül egyetlen pontban fut össze: tudni kell, mit csinál az AI-rendszer, folyamatosan, éles környezetben. A naplózás, az emberi felügyelet, a pontosság-monitorozás és az incidenskezelés mind ugyanerre az alapra épül.
A szabályozásnak való megfelelés Az EU AI Act esetében nagyrészt üzemeltetési kérdés. Aki tisztán látja a rendszereit, az a megfelelés technikai alapját is lerakja.
Az AI-rendszerek külön kihívást jelentenek, mert a viselkedésük nem determinisztikus. Ezt a hagyományos monitorozás nehezen fogja meg. Az AI Observability végpontok közötti rálátást ad az AI-alapú alkalmazásokra, követi a teljesítményt, a válaszidőt, a token-felhasználást és a minőségi jelzéseket, és jelzi az eltéréseket. A fekete dobozból így átlátható, dokumentálható működés lesz.
A Telvice-nél abban segítünk, hogy ez a technikai háttér a helyén legyen, mielőtt a határidők beérnek. Kérjen tőlünk szakértői konzultációt.
Források
Hivatalos EU-források:
- Európai Bizottság – AI Act (Shaping Europe’s digital future): https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- AI Act Service Desk – Az AI Act végrehajtásának idővonala: https://ai-act-service-desk.ec.europa.eu/en/ai-act/timeline/timeline-implementation-eu-ai-act
A Digital Omnibus és a módosított határidők:
- Dastra – Digital Omnibus on AI: Parliament Votes, Deadlines Redrawn: https://www.dastra.eu/en/blog/digital-omnibus-on-ai-parliament-votes-deadlines-redrawn/60108
- Bird & Bird – AI Act & Provisionally Agreed AI Digital Omnibus Consolidated Version: https://www.twobirds.com/en/insights/2026/ai-act-,-a-,-provisionally-agreed-ai-digital-omnibus-consolidated-version
- White & Case – EU agrees Digital Omnibus deal to simplify AI rules: https://www.whitecase.com/insight-alert/eu-agrees-digital-omnibus-deal-simplify-ai-rules
- DLA Piper – The Digital AI Omnibus: deferral of high-risk AI obligations (a Tanács június 29-i elfogadása): https://knowledge.dlapiper.com/dlapiperknowledge/globalemploymentlatestdevelopments/2026/The-Digital-AI-Omnibus-Proposed-deferral-of-high-risk-AI-obligations-under-the-AI-Act
A bírságsávok:
- Gibson Dunn – EU AI Act Omnibus Agreement: Postponed High-Risk Deadlines and Other Key Changes: https://www.gibsondunn.com/eu-ai-act-omnibus-agreement-postponed-high-risk-deadlines-and-other-key-changes/
- Latham & Watkins – AI Act Update: EU Resolves to Change Rules and Extend Deadlines: https://www.lw.com/en/insights/ai-act-update-eu-resolves-to-change-rules-and-extend-deadlines