AI Act (Regulamentul UE 2024/1689) este prima lege cuprinzătoare din lume care reglementează inteligența artificială. Stabilește reguli pentru companiile care dezvoltă sau folosesc sisteme AI, în funcție de nivelul de risc, și se aplică gradual între 2025 și 2027. Pentru companiile din România înseamnă obligații noi de transparență, guvernanță și conformitate — cu amenzi de până la 35 de milioane de euro sau 7% din cifra de afaceri globală pentru încălcări grave.
Acest ghid explică, pe înțelesul decidenților de business, ce este AI Act, pe cine se aplică, ce trebuie să facă o companie din România și cum se leagă de GDPR și NIS2. Este o resursă informativă, nu consultanță juridică — pentru situații specifice, recomandăm o evaluare dedicată.
Ce este AI Act?
AI Act este Regulamentul (UE) 2024/1689, adoptat de Uniunea Europeană pentru a reglementa dezvoltarea și utilizarea inteligenței artificiale pe piața europeană. A intrat în vigoare la 1 august 2024 și se aplică etapizat în următorii ani.
Spre deosebire de un set de recomandări, AI Act este un regulament direct aplicabil în toate statele membre, inclusiv România — nu necesită transpunere în legislația națională pentru a produce efecte. Abordarea sa este „bazată pe risc”: cu cât un sistem AI poate produce mai mult rău oamenilor sau drepturilor lor fundamentale, cu atât regulile sunt mai stricte.
Obiectivul declarat este dublu: protejarea sănătății, siguranței și drepturilor fundamentale ale cetățenilor, dar și susținerea inovației și a unei piețe unice de încredere pentru AI.
Pe cine se aplică AI Act?
AI Act se aplică aproape oricărei companii care atinge un sistem AI, indiferent de rol în lanțul valoric. Cele mai importante categorii sunt:
- Furnizori (providers) — companii care dezvoltă un sistem AI sau un model AI și îl pun pe piață sub numele lor (inclusiv cele din afara UE, dacă produsul ajunge în UE).
- Utilizatori profesionali (deployers) — companii care folosesc un sistem AI în activitatea lor (de exemplu, un instrument AI de recrutare, scoring sau analiză). Aceasta este categoria în care se încadrează majoritatea firmelor din România.
- Importatori și distribuitori — care aduc sau distribuie sisteme AI pe piața UE.
Important: chiar dacă firma ta doar folosește un instrument AI dezvoltat de altcineva (de exemplu un chatbot, un sistem de scoring sau un asistent AI), ai obligații în calitate de deployer. AI Act nu vizează doar marile companii de tehnologie.
Calendarul de aplicare AI Act (2024–2027)
AI Act nu se aplică „dintr-o dată”. Obligațiile intră în vigoare pe etape, ceea ce îți oferă timp de pregătire — dar și termene clare de respectat:
| Data | Ce devine aplicabil |
|---|---|
| 1 august 2024 | Regulamentul intră în vigoare |
| 2 februarie 2025 | Se aplică interdicțiile (practicile AI cu risc inacceptabil) și obligația de alfabetizare AI (AI literacy) a angajaților |
| 2 august 2025 | Reguli pentru modelele AI de uz general (GPAI), structura de guvernanță și regimul de sancțiuni |
| 2 august 2026 | Se aplică majoritatea prevederilor: sistemele cu risc ridicat din Anexa III și obligațiile de transparență |
| 2 august 2027 | Sistemele cu risc ridicat care sunt componente de siguranță ale produselor reglementate (Anexa I) |
Cu alte cuvinte, practicile interzise și pregătirea angajaților sunt deja obligatorii din 2025, iar grosul cerințelor pentru sistemele cu risc ridicat devine aplicabil în 2026.
Cele patru niveluri de risc din AI Act
Inima AI Act este clasificarea sistemelor AI pe patru niveluri de risc. Fiecare nivel atrage obligații diferite:
| Nivel de risc | Exemple | Ce impune AI Act |
|---|---|---|
| Inacceptabil | Social scoring, manipulare, scraping facial nețintit | Interzis complet |
| Ridicat (high-risk) | AI în recrutare, credit scoring, infrastructură critică, dispozitive medicale | Cerințe stricte + evaluare de conformitate |
| Limitat | Chatboți, deepfake-uri, conținut generat de AI | Obligații de transparență |
| Minim | Filtre spam, AI în jocuri, recomandări simple | Fără obligații specifice |
Risc inacceptabil: practicile AI interzise
Anumite utilizări ale AI sunt considerate o amenințare clară la adresa drepturilor fundamentale și sunt interzise complet din 2 februarie 2025. Printre acestea: scoringul social al cetățenilor de către autorități, tehnicile de manipulare subliminală, exploatarea vulnerabilităților unor grupuri (vârstă, dizabilitate), extragerea nețintită de imagini faciale pentru baze de date, recunoașterea emoțiilor la locul de muncă și în educație, și categorizarea biometrică pe criterii sensibile.
Risc ridicat: cele mai multe obligații
Sistemele cu risc ridicat sunt cele care pot afecta semnificativ siguranța sau drepturile oamenilor — de exemplu AI folosit în recrutare și evaluarea angajaților, acordarea de credite, infrastructură critică, educație, sau ca și componentă de siguranță a unui produs. Pentru acestea, AI Act impune un set complet de cerințe:
- Sistem de management al riscului pe tot ciclul de viață
- Guvernanța datelor de antrenare (calitate, reprezentativitate, fără bias)
- Documentație tehnică și înregistrări (logging) ale funcționării
- Transparență și informare a utilizatorilor
- Supraveghere umană (human oversight) reală
- Acuratețe, robustețe și securitate cibernetică
- Evaluare de conformitate înainte de punerea pe piață și înregistrare în baza de date UE
Risc limitat: obligații de transparență
Pentru sistemele cu risc limitat, principala cerință este transparența. Oamenii trebuie să știe când interacționează cu un AI: chatboții trebuie să se identifice ca atare, iar conținutul generat sau manipulat de AI (text, imagini, audio, video — inclusiv deepfake-urile) trebuie etichetat ca atare.
Risc minim: fără obligații specifice
Marea majoritate a aplicațiilor AI uzuale — filtre antispam, recomandări de produse, AI în jocuri — intră în categoria de risc minim și nu au obligații specifice în AI Act, dincolo de bunele practici generale.
Modelele AI de uz general (GPAI) și instrumentele tip ChatGPT
AI Act introduce un regim separat pentru modelele AI de uz general (GPAI) — modelele mari pe care se bazează instrumente precum ChatGPT, Gemini sau Claude. Furnizorii acestor modele au obligații specifice: documentație tehnică, o politică privind respectarea drepturilor de autor și un rezumat public al datelor folosite la antrenare.
Modelele care prezintă un „risc sistemic” (cele mai puternice, peste un anumit prag de putere de calcul) au obligații suplimentare: evaluarea modelului, testare adversarială, raportarea incidentelor și măsuri de securitate cibernetică. Supravegherea acestor modele este realizată la nivel european de Biroul European pentru AI (EU AI Office).
Pentru companiile care doar folosesc astfel de instrumente, relevantă este partea de transparență și de utilizare responsabilă — un domeniu în care te putem ajuta prin serviciile noastre de AI & automatizare.
Obligații concrete pentru companiile din România
Chiar dacă firma ta nu dezvoltă AI, ai responsabilități în calitate de utilizator profesional. Iată ce ar trebui să facă o companie din România:
- Inventariază sistemele AI pe care le folosești (HR, marketing, scoring, asistenți AI, automatizări).
- Clasifică-le pe nivel de risc conform AI Act și identifică pe cele cu risc ridicat.
- Asigură alfabetizarea AI a angajaților care folosesc aceste instrumente (obligație din februarie 2025).
- Verifică transparența: etichetează conținutul generat de AI și informează utilizatorii când interacționează cu un chatbot.
- Documentează furnizorii, scopul și controalele aplicate fiecărui sistem AI.
- Integrează AI Act cu politicile existente de protecția datelor (GDPR) și securitate (NIS2).
La nivel instituțional, fiecare stat membru desemnează autorități naționale competente pentru supraveghere, în timp ce coordonarea europeană este asigurată de Biroul European pentru AI și de Comitetul European pentru AI. În România, cadrul instituțional de aplicare se consolidează în prezent.
Sancțiuni și amenzi AI Act
AI Act prevede unele dintre cele mai mari amenzi din legislația UE — mai mari chiar decât GDPR pentru încălcările grave. Nivelul depinde de tipul de încălcare:
| Tip de încălcare | Amendă maximă |
|---|---|
| Practici AI interzise (risc inacceptabil) | Până la 35.000.000 € sau 7% din cifra de afaceri anuală globală |
| Nerespectarea altor obligații (risc ridicat, transparență, GPAI) | Până la 15.000.000 € sau 3% din cifra de afaceri |
| Informații incorecte sau incomplete către autorități | Până la 7.500.000 € sau 1% din cifra de afaceri |
Se aplică suma cea mai mare dintre valoarea fixă și procent. Pentru IMM-uri și startup-uri, plafoanele se aplică la nivelul cel mai mic dintre cele două, pentru a nu sufoca firmele mici.
AI Act, GDPR și NIS2: cum se leagă
AI Act nu funcționează izolat — se suprapune și se completează cu alte reglementări europene pe care companiile din România le cunosc deja:
| Reglementare | Ce protejează | Legătura cu AI Act |
|---|---|---|
| GDPR | Datele cu caracter personal | Multe sisteme AI prelucrează date personale — conformitatea GDPR rămâne obligatorie |
| NIS2 | Securitatea cibernetică a entităților esențiale/importante | Sistemele AI cu risc ridicat trebuie să fie securizate — cerințele se aliniază cu NIS2 |
| AI Act | Siguranța și drepturile în utilizarea AI | Adaugă un strat dedicat de guvernanță a inteligenței artificiale |
Practic, o companie care a lucrat deja la conformitatea NIS2 și GDPR are un avans semnificativ: are deja inventarul de date, evaluările de risc și procesele de guvernanță pe care AI Act le cere și pentru sistemele AI.
Cum îți pregătești compania pentru AI Act: 7 pași
O abordare practică, în pași, te ajută să treci de la incertitudine la conformitate fără blocaje:
- Inventariere — fă lista completă a sistemelor și instrumentelor AI folosite în companie.
- Clasificare — încadrează fiecare sistem pe nivel de risc conform AI Act.
- Gap analysis — compară situația actuală cu cerințele aplicabile fiecărui sistem.
- Plan de remediere — prioritizează măsurile, începând cu practicile interzise și sistemele cu risc ridicat.
- Alfabetizare AI — instruiește angajații care folosesc instrumente AI.
- Documentație și transparență — pune la punct evidențele, etichetarea și informarea utilizatorilor.
- Monitorizare continuă — revizuiește periodic, pe măsură ce intră în vigoare noi etape ale regulamentului.
Dacă vrei sprijin la oricare dintre acești pași, echipa Secure IT Solutions combină expertiza de conformitate, securitate cibernetică și implementare AI. Programează o discuție pentru o evaluare a expunerii companiei tale la AI Act.
Glosar AI Act: termeni cheie
Câțiva termeni esențiali pentru a înțelege AI Act:
- Sistem AI — un sistem automatizat care, pe baza unor date de intrare, generează rezultate (predicții, recomandări, decizii, conținut) ce influențează mediul fizic sau digital.
- GPAI (General-Purpose AI) — model AI de uz general, antrenat pe volume mari de date, care poate fi adaptat pentru o gamă largă de sarcini (ex. modelele din spatele ChatGPT).
- Sistem cu risc ridicat (high-risk) — sistem AI care poate afecta semnificativ sănătatea, siguranța sau drepturile fundamentale și care trebuie să respecte cerințe stricte.
- Provider (furnizor) — entitatea care dezvoltă un sistem AI și îl pune pe piață sub numele său.
- Deployer (utilizator profesional) — entitatea care folosește un sistem AI în cadrul activității sale profesionale.
- Evaluare de conformitate — procesul prin care se demonstrează că un sistem AI cu risc ridicat respectă cerințele AI Act înainte de punerea pe piață.
Întrebări frecvente despre AI Act
Când se aplică AI Act?
AI Act a intrat în vigoare la 1 august 2024 și se aplică etapizat: interdicțiile și alfabetizarea AI din februarie 2025, regulile pentru modelele de uz general din august 2025, majoritatea cerințelor pentru sistemele cu risc ridicat din august 2026, iar ultimele prevederi din august 2027.
AI Act se aplică și firmelor mici din România?
Da. AI Act se aplică oricărei companii care dezvoltă sau folosește sisteme AI pe piața UE, indiferent de mărime. Pentru IMM-uri și startup-uri există însă plafoane reduse la amenzi și măsuri de sprijin, dar obligațiile de bază rămân.
Ce se întâmplă dacă folosesc doar ChatGPT sau alte instrumente AI?
Devii „deployer” (utilizator profesional) și ai obligații de transparență și utilizare responsabilă: informezi utilizatorii când interacționează cu AI, etichetezi conținutul generat de AI și te asiguri că angajații au un nivel minim de alfabetizare AI.
Cât sunt amenzile pentru nerespectarea AI Act?
Până la 35 de milioane de euro sau 7% din cifra de afaceri globală pentru practicile interzise, până la 15 milioane de euro sau 3% pentru alte încălcări și până la 7,5 milioane de euro sau 1% pentru informații incorecte furnizate autorităților.
Care e diferența dintre AI Act și GDPR?
GDPR reglementează prelucrarea datelor cu caracter personal, în timp ce AI Act reglementează siguranța și utilizarea sistemelor de inteligență artificială. Ele se completează: un sistem AI care folosește date personale trebuie să respecte ambele reglementări.
De unde încep cu pregătirea pentru AI Act?
Începe cu un inventar al sistemelor AI folosite în companie și cu clasificarea lor pe nivel de risc, apoi fă un gap analysis față de cerințele aplicabile. O evaluare specializată îți arată exact unde ești expus și ce ai de făcut.