EU AI Act – Mit ír elő az Európai Unió első átfogó mesterséges intelligencia szabályozása?

EU AI Act - Mit ír elő az Európai Unió első átfogó mesterséges intelligencia szabályozása? - Observability

Érkezik az AI Act az Európai Unió első átfogó mesterséges intelligencia szabályozása. Célja, hogy segítsen a vállalatoknak és a szervezeteknek csökkenteni az AI okozta kockázatokat. 

Nem feltétlenül jelent minden vállalat számára korlátozást. Míg a magas kockázatú rendszerekre szigorú követelmények vonatkoznak, a korlátozott kockázatú rendszereknél átláthatósági kötelezettség él. A minimális kockázatú rendszerek — a ma használt AI nagy része — szabadon működhetnek.

Ez a cikk a technikai oldalt veszi sorra: kikre vonatkozik, mik a határidők, és milyen IT-feltételeket kell teljesíteni a megfeleléshez.

Kikre vonatkozik?

A szabályozás hatálya tágabb, mint elsőre tűnik. A szabályozás az AI-fejlesztőkön túl a felhasználó cégeket is eléri.

Az AI Act két fő szerepet különböztet meg. A szolgáltató (provider) az, aki AI-rendszert fejleszt vagy forgalomba hoz a saját neve alatt. Az üzembe helyező (deployer) az, aki egy kész AI-rendszert a saját tevékenységében használ. A legtöbb nagyvállalat ebbe a második csoportba esik. 

Három kérdés segít eldönteni, hogy érintettek-e:

  • Használ a cég olyan AI-rendszert, amely emberekről hoz vagy támogat döntést? Ide tartozik a hitelbírálat, a HR-szűrés, a biztosítási kockázatértékelés. Ezek tipikusan a magas kockázatú kategóriába esnek.
  • Fejleszt vagy testreszab a cég saját AI-megoldást? Ekkor szolgáltatói kötelezettségek is felmerülhetnek, a puszta használaton túl.
  • Közvetlen kapcsolatba lép a cég AI-n keresztül az ügyfeleivel? Egy ügyfélszolgálati chatbot vagy egy generatív tartalmat előállító eszköz átláthatósági kötelezettséget hoz. Az érintetteknek tudniuk kell, hogy géppel beszélnek.

Ugyanaz a nagy nyelvi modell lehet minimális kockázatú egy belső összegző eszközben, és magas kockázatú egy önéletrajz-szűrő folyamatban. A besorolást mindig a konkrét felhasználás dönti el.

Mik a határidők?

Az AI Act fokozatosan lép életbe, és 2026 nyarán ér el egy fontos ponthoz. A friss módosítások néhány határidőt kitoltak, másokat érintetlenül hagytak. Érdemes tudni, melyik mikor lép hatályba.

Ami már alkalmazandó:

  • A tiltott gyakorlatok — például a társadalmi pontozás — 2025. február 2. óta.
  • Az általános célú (GPAI) modellekre vonatkozó szabályok és a felügyeleti struktúra 2025. augusztus 2. óta.

Ami 2026-ban élesedik:

  • 2026. augusztus 2. — az átláthatósági szabályok. A felhasználót tájékoztatni kell, ha AI-rendszerrel áll kapcsolatban. Ezen a napon kapják meg a nemzeti piacfelügyeleti hatóságok a teljes körű ellenőrzési és bírságolási jogkört.
  • 2026. december 2. — két új tiltott gyakorlat: a beleegyezés nélküli intim tartalmak és a gyermekbántalmazást ábrázoló anyagok AI-val történő előállítása. Ugyanettől a naptól a 2026 augusztusa előtt piacra került generatív rendszereknél kötelező a szintetikus tartalom gépi olvasható jelölése.

Ami később:

  • 2027. december 2. — az önálló, magas kockázatú (Annex III.) rendszerek: hitelbírálat, HR-szűrés, biometrikus azonosítás, kritikus infrastruktúra.
  • 2028. augusztus 2. — a szabályozott termékekbe ágyazott (Annex I.) magas kockázatú rendszerek.

A halasztás valós mozgásteret ad a legösszetettebb kötelezettségeknél. A magas kockázatú rendszerek megfelelése viszont kockázatértékelést, technikai dokumentációt és megfelelőségértékelést igényel. Ez a munka hónapokban mérhető. A 2027-es dátum a befejezés határideje, nem a kezdésé.

Fontos tudni: az AI Act határidőit egyszer már módosították. A magas kockázatú rendszerek kötelezettségeit a Digital Omnibus csomag tolta ki, amelyet a Tanács 2026. június 29-én fogadott el. A fenti dátumok ezt a jelenlegi állapotot tükrözik. További módosítás a jövőben sem kizárt, ezért a végleges határidőket érdemes hivatalos EU-s forrásból ellenőrizni. A jelen tájékoztató nem minősül jogi tanácsadásnak.

Hova tartozik a saját rendszerünk?

Az AI Act a felhasználás kockázatát osztályozza, nem magát a technológiát. Ugyanaz a rendszer eltérő kategóriába eshet attól függően, mire használják. Négy szint van, és a besorolás dönti el a kötelezettségeket. Érdemes végigvenni, a saját rendszereink hova illeszkednek.

Elfogadhatatlan kockázat. Ezt a kategóriát egyetlen cég sem használhatja: a hozzá tartozó gyakorlatok teljesen ki vannak zárva az uniós piacról, mert összeegyeztethetetlenek az alapvető jogokkal. Ide tartozik a társadalmi pontozás, a tudatalatti manipuláció és a nyilvános terekben végzett valós idejű biometrikus azonosítás. A tilalom 2025. február 2. óta él, mentesülés nélkül.

Magas kockázat. Ide sok nagyvállalat besorolható, sokszor a vártnál könnyebben. Az a cég érintett, amely AI-t használ hitelbírálatban, HR-szűrésben, biztosítási kockázatértékelésben, biometrikus azonosításban vagy kritikus infrastruktúra irányításában. Ezek a rendszerek forgalomban maradhatnak, de szigorú feltételekkel — kockázatkezelés, naplózás, emberi felügyelet és részletes dokumentáció mellett. A kötelezettségek túlnyomó része erre a kategóriára épül.

Korlátozott kockázat. Ebbe a körbe az a cég esik, amely ügyfélszolgálati chatbotot üzemeltet vagy generatív eszközzel állít elő tartalmat. A követelmény az átláthatóság: a felhasználónak tudnia kell, hogy géppel kommunikál, a mesterségesen előállított tartalmat pedig jelölni kell. A megfelelés itt lényegesen könnyebb, teljes körű megfelelőségértékelés nélkül.

Minimális kockázat. A legtöbb cég mindennapi AI-használata ide tartozik — a spamszűrőktől az ajánlórendszereken át a készletoptimalizálásig. A rendelet nem ír elő rájuk külön kötelezettséget. Az önkéntes magatartási kódex követése ajánlott, kötelezettség nélkül.

Mit kell teljesíteni?

A kötelezettségek zöme a magas kockázatú kategóriára esik. Első ránézésre hosszú a lista, de van benne egy visszatérő minta: a követelmények nagy része arról szól, hogy a rendszer működését monitorozni, dokumentálni és felügyelni kell, folyamatosan, éles üzemben. 

Automatikus naplózás. A szabályozás előírja, hogy a magas kockázatú rendszer a teljes életciklusa alatt automatikusan rögzítse a működését. Ez a naplózás adja a megfelelőség bizonyítékát: enélkül utólag nem rekonstruálható, mi és miért történt. IT-oldalon ez folyamatos, megbízható eseménynaplózást jelent, amely az AI-rendszer teljes útját lefedi.

Emberi felügyelet. A magas kockázatú rendszereket úgy kell megtervezni, hogy egy ember érdemben felügyelhesse, és szükség esetén legyen lehetősége a beavatkozásra. Ehhez a rendszer viselkedésének átláthatónak kell lennie: valós idejű rálátás, riasztások és anomália jelzés kell ahhoz, hogy az illetékes időben észrevegye, ha valami elromlik.

Pontosság, robusztusság, kiberbiztonság: három követelmény, amelyeknek éles üzemben egyszerre kell teljesülniük. A rendszernek megbízhatóan és kiszámíthatóan kell működnie, és ne legyen manipulálható. Éles üzemben ez azt jelenti, hogy folyamatosan figyelni kell a pontosságot, a válaszidőt, a hibaarányt és a modell viselkedésének elcsúszását (drift). A teljesítményromlás csak akkor kezelhető, ha idejében láthatóvá válik.

Forgalomba hozatal utáni felügyelet. A szolgáltatónak a piacra kerülés után is aktívan monitoroznia kell a rendszert, és a súlyos incidenseket jelentenie kell a hatóság felé. Ez folyamatos éles üzemi megfigyelést és működő incidenskezelési folyamatot feltételez.

Ennek a négy kötelezettségnek közös technikai alapja van: látni kell, mit csinál az AI-rendszer, folyamatosan, éles környezetben. 

Itt lép be az AI Observability. A fekete dobozból így átlátható, dokumentálható működés lesz, a megfelelés pedig a jól felügyelt üzemeltetés természetes eredménye lesz, külön energiabefektetés nélkül.

A nem megfelelés következményei

A szabályozás elvárásokat fogalmaz meg, a be nem tartásukhoz pedig érzékeny szankciókat rendel. A bírságok sávosak: a jogsértés súlyához igazodnak. A rendelet minden sávnál megad egy összeget és egy árbevétel-arányt is — mindig a magasabb érték az irányadó.

A legsúlyosabb sáv: a tiltott gyakorlatok. A tiltott AI-gyakorlatok alkalmazása akár 35 millió euró vagy a globális éves árbevétel 7%-a is lehet.

A magas kockázatú és az átláthatósági kötelezettségek megsértése. A magas kockázatú rendszerekre vonatkozó előírások vagy az átláthatósági szabályok be nem tartása akár 15 millió euró vagy az árbevétel 3%-a.

Hiányos vagy félrevezető tájékoztatás. Ha egy szervezet pontatlan, hiányos vagy megtévesztő adatot szolgáltat a hatóságoknak, a bírság akár 7,5 millió euró vagy az árbevétel 1%-a.

A pénzbírság mellett a hatóságok elrendelhetik a rendszer piacról való visszavonását vagy a működés korlátozását is. A teljes körű ellenőrzési és bírságolási jogkör 2026. augusztus 2-tól a nemzeti piacfelügyeleti hatóságokat illeti — ettől a naptól zárul a türelmi időszak.

Kkv-k és induló vállalkozások esetében a két érték közül az alacsonyabb az irányadó, így a szankció arányos marad a szervezet méretével.

Az observability a megfelelés legfőbb feltétele

Az AI Act hosszú követelménylistája végül egyetlen pontban fut össze: tudni kell, mit csinál az AI-rendszer, folyamatosan, éles környezetben. A naplózás, az emberi felügyelet, a pontosság-monitorozás és az incidenskezelés mind ugyanerre az alapra épül.

A szabályozásnak való megfelelés Az EU AI Act esetében nagyrészt üzemeltetési kérdés. Aki tisztán látja a rendszereit, az a megfelelés technikai alapját is lerakja.

Az AI-rendszerek külön kihívást jelentenek, mert a viselkedésük nem determinisztikus. Ezt a hagyományos monitorozás nehezen fogja meg. Az AI Observability végpontok közötti rálátást ad az AI-alapú alkalmazásokra, követi a teljesítményt, a válaszidőt, a token-felhasználást és a minőségi jelzéseket, és jelzi az eltéréseket. A fekete dobozból így átlátható, dokumentálható működés lesz.

A Telvice-nél abban segítünk, hogy ez a technikai háttér a helyén legyen, mielőtt a határidők beérnek. Kérjen tőlünk szakértői konzultációt.

Források

Hivatalos EU-források:

A Digital Omnibus és a módosított határidők:

A bírságsávok: