Mający formę bezpośrednio obowiązującego rozporządzenia, Unijny AI Act został ostatecznie przyjęty. Jego nadrzędnym celem ma być ustanowienie kompromisu pomiędzy wymogiem zapewnienia bezpieczeństwa użytkowania sztucznej inteligencji, a potrzebą rozwoju innowacyjności w UE. Rozporządzenie jest odpowiedzią na propozycje obywatelskie, które wybrzmiały w trakcie debat prowadzonych w 2022 roku w ramach Konferencji w sprawie przyszłości Europy.
Czytaj też: Manipulacja za pomocą AI narazi firmy na dotkliwe kary
Zakres obowiązywania Aktu
Przy uwzględnieniu wcześniejszych osiągnięć w tym zakresie, w Rozporządzeniu na nowo podjęto próbę zdefiniowania pojęcia systemu sztucznej inteligencji, wskazując jako jego kluczową cechę zdolność do wnioskowania. Jednocześnie w sposób bardzo szeroki sformułowano zakres podmiotowy Aktu, podkreślając, iż większość obowiązków dotyczyć będzie nie tylko twórców i dystrybutorów, lecz również tzw. podmiotów stosujących, a więc wszystkich osób fizycznych i prawnych korzystających z AI (z wyłączeniem osobistej działalności pozazawodowej). Uprzywilejowaną poniekąd pozycję zapisy Aktu przyznały sektorowi małych i średnich przedsiębiorstw, nakładając na nie proporcjonalnie ograniczone obowiązki. Ciekawe podejście autorzy Rozporządzenia zaprezentowali w kwestii zakresu terytorialnego Aktu, obejmując jego przepisami nie tylko podmioty mające siedzibę w Unii i stosujące sztuczną inteligencję na jej terenie, lecz również podmioty, które chciałyby na obszarze Unii wykorzystywać same tylko wyniki działania systemów opartych o AI. Produkty w najmniejszym nawet stopniu powiązane ze sztuczną inteligencją, a nieuwzględniające wymogów Aktu, będą więc w Unii zakazane. Oznacza to brak możliwości korzystania na terenie Unii z rozwiązań, których twórcy nie będą chcieli podporządkować się unijnym regulacjom.
Czytaj więcej w LEX: Akt w sprawie sztucznej inteligencji >
Co z tym AML?
Podkreślając potrzebę stworzenia norm prawnych opartych na analizie ryzyka, Rozporządzenie koncentruje się na dwóch zagadnieniach. Pierwszym z nich jest kwestia systemów o ryzyku nieakceptowalnym, których stosowanie będzie zakazane. Rozporządzenie wskazuje tu m.in. rozwiązania służące manipulacji oraz rozpoznające emocje.
Drugim istotnym elementem Rozporządzenia jest próba określenia wymogów wobec tzw. systemów wysokiego ryzyka. Wśród nich Rozporządzenie wymienia m.in. systemy wykorzystywane w edukacji, rekrutacji i zarządzaniu pracownikami, a także stosowane w celu oceny zdolności kredytowej lub ryzyka ubezpieczeniowego osób fizycznych.
Kwestie AML/CFT nie zostały wprost uwzględnione, natomiast trudno nie dostrzec analogii chociażby w zakresie oceny ryzyka klienta, monitorowania transakcji i sankcji, które są nieodzownymi elementami procesu AML/CFT. To w tych m.in. obszarach, wymagających analizy dużej ilości danych, upatrywany jest największy potencjał zastosowania sztucznej inteligencji. Jednocześnie, systemy stworzone w celu przyśpieszenia procesów anti-fraud i AML/CFT wydają się wykazywać cechy podwyższonego ryzyka, ze względu na ich złożony charakter i konsekwencje podjętych w ich wyniku decyzji.
Czytaj też w LEX: Nowe prawo o praniu pieniędzy opublikowane 19 czerwca 2024 r. >
Brak w Akcie szczegółowych regulacji dotyczących instytucji finansowych z trwającym jednocześnie procesem uszczelniania systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, wyrażonym w przyjętym niedawno Pakiecie AML, sugeruje potencjalne dalsze kierunki rozwoju unijnych regulacji. Na szczególną pozycję sektora finansowego wskazują również uruchomione 18 czerwca konsultacje Komisji. Mają one na celu ustalenie wpływu sztucznej inteligencji i Rozporządzenia na procesy zachodzące w organizacjach z branży. Wiele pytań ujętych w kwestionariuszu konsultacyjnym oscyluje wokół zagadnień związanych z zapewnieniem zgodności regulacyjnej, analizą runku, weryfikacją dokumentacji, a także wykrywaniem przestępstw finansowych, w tym prania pieniędzy.
Czytaj też w LEX: Akt w sprawie sztucznej inteligencji (AI Act) i RODO – punkty styku, podobieństwa i różnice >
Obowiązki związane z systemami wysokiego ryzyka
Operacje w obszarze AML/CFT pochłaniają wiele czasu i zasobów, a wsparcie systemów informatycznych to istotna część wydatków w obszarze compliance. Rynek z nadzieją patrzy więc na szanse, jakie dają systemy AI, wizualizując możliwość ich zastosowania w procesach AML/CFT. Dzieje się tak głównie ze względu na dążenie do poprawy efektywności rozumianej nie tylko poprzez pryzmat kosztów, ale również skuteczności w identyfikacji ryzyka. Jednak zanim zastosowanie systemów AI będzie możliwe, należy spełnić obowiązki, jakie nakłada Rozporządzenie.
Rozporządzenie nakłada szereg obowiązków na operatorów systemów AI wysokiego ryzyka, podkreślając, jednakże konieczność komplementarnego stosowania wielu aktów ustawodawczych, z prawem ochrony danych osobowych na czele. Rozporządzenie zobowiązuje m.in. do zapewnienia procedury oceny zgodności oraz systemu zarządzania ryzykiem, opartego o odpowiednio aktualizowaną ocenę ryzyka.
Co istotne, część podmiotów będzie zobligowana do przeprowadzenia oceny wpływu swoich systemów na przestrzeganie praw podstawowych. Innymi istotnymi obowiązkami są m.in. wymóg zapewnienia odpowiedniej jakości danych służących trenowaniu modeli, a także zagwarantowania cyberbezpieczeństwa i nadzoru ze strony człowieka. To z kolei wymusza na użytkownikach potrzebę zrozumienia i odtworzenia sposobu funkcjonowania modelu. Podmioty stosujące będą więc musiały zapewnić szkolenia dla osób mających odpowiadać za ich nadzór. Po stronie takich podmiotów będzie leżał też obowiązek informacyjny, dotyczący zwłaszcza rozwiązań polegających na bezpośredniej interakcji sztucznej inteligencji z osobą fizyczną. Również treści generowane przy użyciu AI powinny być, zgodnie z nowymi przepisami, jasno oznaczone.
W przypadku naruszenia przepisów Rozporządzenia, podmioty poszkodowane będą miały prawo do wniesienia skargi do właściwego organu nadzoru, a ten z kolei – do wymierzenia kar finansowych, których górne limity – w zależności od przewinienia – mogą wynieść do 35 mln euro lub 7 proc. rocznego obrotu.
Czytaj też w LEX: Krajowa ocena ryzyka AML – jak instytucje finansowe powinny zaktualizować wewnętrzne oceny ryzyka? >
Otoczenie prawne dla AI w Polsce
Przyjęte Rozporządzenie określane jest mianem pierwszego tak kompleksowego aktu prawnego dotyczącego sztucznej inteligencji. Wychodzi ono naprzeciw tak poważnym problemom, jak zbyt daleko idąca kontrola czy odebranie jednostkom prawa do podejmowania świadomych decyzji w oparciu o niezmanipulowane dane.
Dodatkowo, w Akcie znalazły miejsce regulacje dotyczące systemu zarządzania AI na szczeblu unijnym. Odnoszą się one do szeregu jednostek, w tym Urzędu ds. AI czy Europejskiej Rady ds. Sztucznej Inteligencji.
Na gruncie polskim priorytetem legislacyjnym jest potrzeba wyznaczenia instytucji odpowiedzialnej za nadzór nad AI oraz dostosowanie przepisów prawa krajowego do nowej regulacji. Zgodnie z zapowiedzią Ministerstwa Cyfryzacji planowane jest powołanie Komisji ds. nadzoru nad sztuczną inteligencją, która ma być całkowicie nowym organem stworzonym w celu sprawowania kontroli nad stosowaniem zapisów AI Act. Obecnie kwestią sztucznej inteligencji w Polsce zajmuje się Ministerstwo Cyfryzacji, przy którym od ponad trzech lat działa Grupa Robocza GRAI. W połowie 2023 roku, GRAI przygotowała raport analizujący związki AI Act z wybranymi regulacjami, ukazujący czekające wszystkich zmiany w krajowym i unijnym prawodawstwie. Ważne znaczenie ma również polskie członkostwo w Globalnym Partnerstwie na rzecz Sztucznej Inteligencji.
Sprawdź również książkę: Sztuczna inteligencja. Praktyczny przewodnik dla sektora innowacji finansowych >>
Co AI Act oznacza dla instytucji obowiązanych?
Biorąc pod uwagę zapisy Rozporządzenia, wydaje się, że wiele firm będzie zmuszona ponownie przyjrzeć się stosowanym rozwiązaniom technologicznym oraz zrewidować własne strategie, procedury i polityki. Wprowadzenie regulacji będzie również wymuszać zmiany organizacyjne dotyczące struktury poszczególnych funkcji oraz sposobu zarządzania i kontroli. Wbrew opinii o możliwym wyparciu czynnika ludzkiego z pewnych obszarów, rola człowieka może wzrosnąć, głównie w zakresie zapewniania jakości i zgodności oraz bieżącego testowania rozwiązań. Dotyczyć może to zwłaszcza instytucji finansowych, w sposób dość rozległy stosujących już tzw. systemy ogólnego przeznaczenia, oparte o duże modele językowe, m.in. w dziedzinie AML/CFT. Bez cienia wątpliwości systemy AI zmienią dotychczasowe reguły gry, wpływając na podział zadań i odpowiedzialności w ramach 3 linii obrony. Pomimo wstępnej wciąż fazy rozwoju systemów opartych na AI, warto więc już teraz rozpocząć analizy i zawczasu dostosować procedury i procesy w zakresie szerokiego użycia systemów AI.
Rozporządzenie wejdzie w życie 20. dnia po ogłoszeniu w dzienniku urzędowym UE, co prognozuje się na początek sierpnia Jego zapisy, z pewnymi wyjątkami, zaczną obowiązywać po 24 miesiącach licząc od dnia publikacji.
Zobacz też szkolenie online: Nowy Pakiet AML – rewolucja dla instytucji obowiązanych >
Piotr Jagodziński – starszy menedżer, zespół Financial Crime, Deloitte
Magdalena Warzecha – konsultantka, zespół Financial Crime, Deloitte
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
