EU AI Act: Tι πρέπει να γνωρίζουν οι επιχειρήσεις στην Ελλάδα

Η Ευρωπαϊκή Ένωση πραγματοποίησε ένα σημαντικό βήμα για την εποπτεία των συστημάτων τεχνητής νοημοσύνης (Artificial Intelligence - AI), με τη δημοσίευση του Κανονισμού (ΕΕ) 2024/1689 για τη θέσπιση εναρμονισμένων κανόνων σχετικά με την AI (EU AI Act), στις 12 Ιουλίου 2024, η οποία τίθεται σε άμεση εφαρμογή σε όλα τα κράτη μέλη. Η ΕΕ πρωτοστατεί σε αυτό το θέμα, διατηρώντας μια νομοθετική ισορροπία μεταξύ, αφενός, της ελευθερίας για έρευνα, ανάπτυξη και χρήση συστημάτων AI από τις εταιρείες και τους οργανισμούς και, αφετέρου, της προάσπισης της ασφάλειας, των θεμελιωδών δικαιωμάτων, της δημοκρατίας και του περιβάλλοντος από τους κινδύνους της τεχνητής νοημοσύνης.

Με αφορμή τη δημοσίευση του Κανονισμού, το Τμήμα Συμβουλευτικών Υπηρεσιών της EY Ελλάδος και, ειδικότερα, οι ομάδες Διαχείρισης και Ποσοτικοποίησης Κινδύνων, και Τεχνητής Νοημοσύνης / Ανάλυσης Δεδομένων του Κέντρου Αριστείας AI & Data της EY στην Ελλάδα, αναλύουν τα βασικά στοιχεία της EU AI Act και παραθέτουν προτάσεις για το πώς οι ελληνικές επιχειρήσεις θα ανταποκριθούν στις απαιτήσεις της.

Στόχος της Πράξης και ορισμός συστημάτων AI

Η EE, μέσω της EU AI Act, έχει ως βασικό στόχο τον έλεγχο της ασφάλειας και της αξιοπιστίας των συστημάτων τεχνητής νοημοσύνης τα οποία λειτουργούν εντός της επικράτειάς της (ανεξάρτητα από τη χώρα ανάπτυξής τους), προστατεύοντας, παράλληλα, τα θεμελιώδη δικαιώματα των πολιτών της. Με την εφαρμογή της Πράξης, οι επιχειρήσεις θα πρέπει να εναρμονιστούν με μια σειρά από απαιτήσεις και πρότυπα, εξασφαλίζοντας ότι τα συστήματα AI τα οποία αναπτύσσουν ή λειτουργούν, είναι ασφαλή και δίκαια για τους χρήστες.

Σύμφωνα με την EU AI Act, ένα σύστημα AI ορίζεται ως ένα λογισμικό που αναπτύσσεται με ορισμένες τεχνικές και προσεγγίσεις και μπορεί, για ένα δεδομένο σύνολο καθορισμένων στόχων, με έναν – έστω και ελάχιστο – βαθμό αυτονομίας, να παράγει αποτελέσματα όπως προτάσεις, εκτιμήσεις, προβλέψεις, αποφάσεις ή άλλες ενέργειες που επηρεάζουν τα περιβάλλοντα με τα οποία αλληλοεπιδρά.

Είναι σαφές ότι ο ορισμός των συστημάτων ΑΙ καλύπτει ένα ευρύ φάσμα τεχνικών και προσεγγίσεων στον χώρο της τεχνολογίας αυτής, όπως, η μηχανική μάθηση (machine learning), η βαθιά μάθηση (deep learning), η επεξεργασία φυσικής γλώσσας (natural language processing) και τα συστήματα AI γενικού σκοπού (general purpose ΑΙ systems).

Διαβάθμιση συστημάτων AI με βάση τον κίνδυνο, και εποπτεία

Για την προώθηση της καινοτομίας, παράλληλα με την εμπιστοσύνη στα συστήματα ΑΙ, η ΕΕ διαβαθμίζει τα συστήματα αυτά σε επίπεδα κινδύνου με βάση τον δυνητικό αντίκτυπο στα δικαιώματα και τις ελευθερίες των ανθρώπων, εισάγοντας διαφορετικές απαιτήσεις για όλους τους εμπλεκόμενους φορείς, όπως όσοι αναπτύσσουν συστήματα ΑΙ και όσοι χρησιμοποιούν τέτοια συστήματα.

Διαφορετικές απαιτήσεις και χρονικά πλαίσια εναρμόνισης, ορίζονται για τις παρακάτω κατηγορίες συστημάτων:

- Μη αποδεκτού κινδύνου συστήματα AI: Περιλαμβάνουν, για παράδειγμα, συστήματα τα οποία χρησιμοποιούνται για την αξιολόγηση ή την ταξινόμηση φυσικών προσώπων με βάση την κοινωνική συμπεριφορά ή την προσωπικότητά τους, ή συστήματα τα οποία εκμεταλλεύονται συγκεκριμένα χαρακτηριστικά ομάδων φυσικών προσώπων. H χρήση των συστημάτων αυτών είναι απαγορευμένη. Το χρονικό πλαίσιο απαγορεύσεων για τα συστήματα μη αποδεκτού κινδύνου έχει οριστεί στους 6 μήνες μετά την έναρξη ισχύος της Πράξης.
- Υψηλού κινδύνου συστήματα ΑΙ: Για τα συστήματα αυτά προβλέπονται πολλαπλές απαιτήσεις πριν από την έναρξη χρήσης τους, και σε συνεχή βάση. Οι βασικές τους απαιτήσεις είναι οι ακόλουθες:

1) Εισαγωγή συστήματος διαχείρισης κινδύνων, το οποίο θα χρησιμοποιείται καθ' όλη τη διάρκεια του κύκλου ζωής του συστήματος
2) Διακυβέρνηση και έλεγχος ποιότητας δεδομένων για την εκπαίδευση, επικύρωση και λειτουργία του συστήματος
3) Αξιολόγηση ακρίβειας, επάρκειας και αξιοπιστίας των αποτελεσμάτων
4) Ύπαρξη διαφάνειας, πληροφόρησης, ασφάλειας και ακεραιότητας των χρηστών
5) Ανθρώπινη εποπτεία για τον έλεγχο λειτουργίας του συστήματος
6) Ολοκληρωμένη τεχνική τεκμηρίωση

Η αξιολόγηση των συστημάτων υψηλού κινδύνου αναμένεται 24-36 μήνες μετά την έναρξη ισχύος της Πράξης, ανάλογα με την κατηγορία του συστήματος.
Χαμηλού κινδύνου συστήματα AI: Περιλαμβάνουν συστήματα που προορίζονται για άμεση αλληλεπίδραση με φυσικά πρόσωπα και υπόκεινται κυρίως σε απαιτήσεις διαφάνειας. Οι απαιτήσεις για τα συστήματα χαμηλού κινδύνου, θα τεθούν σε εφαρμογή 24 μήνες μετά την έναρξη ισχύος της πράξης.
Συστήματα AI γενικού σκοπού: Αφορούν συστήματα τα οποία είναι ικανά να εκτελούν ένα ευρύ φάσμα εργασιών και δεν είναι περιορισμένα σε μία συγκεκριμένη λειτουργία ή εφαρμογή. Οι απαιτήσεις για τα συστήματα αυτά, διαφοροποιούνται με βάση τον συστημικό τους κίνδυνο, ενώ αναμένεται να τεθούν σε εφαρμογή 12 μήνες μετά την έναρξη ισχύος της Πράξης.

Η EU AI Act προβλέπει τη σύσταση ειδικών εποπτικών αρχών σε κάθε κράτος μέλος, οι οποίες θα έχουν την ευθύνη να ελέγχουν τη συμμόρφωση των επιχειρήσεων με τις απαιτήσεις της, καθώς και να επιβάλλουν τυχόν κυρώσεις σε περιπτώσεις αποκλίσεων. Ενδεικτικά, οι ποινές μη συμμόρφωσης ενός οργανισμού, σε περίπτωση που θέτει σε λειτουργία συστήματα AI μη αποδεκτού κινδύνου, δύνανται να φτάσουν μέχρι και το 7% του κύκλου εργασιών του.

Αναφερόμενος στην EU AI Act, ο Δρ. Λάζαρος Πολυμενάκος, Εταίρος στο Τμήμα Συμβουλευτικών Υπηρεσιών της EY Ελλάδος και Επικεφαλής Συμβουλευτικών Υπηρεσιών AI στην περιοχή Ευρώπης, Μέσης Ανατολής, Ινδίας και Αφρικής (EMEIA), σημείωσε: «Η Ευρώπη κατάφερε με πολύχρονη προσπάθεια κάτι εξαιρετικό. Έχουμε επιτέλους τον πρώτο δεσμευτικό νόμο στον κόσμο της τεχνητής νοημοσύνης, για τη μείωση των κινδύνων, τη δημιουργία ευκαιριών, την καταπολέμηση των διακρίσεων, και την επίτευξη διαφάνειας. Ωστόσο, έχει απομείνει πολύς δρόμος ακόμα για να ολοκληρωθεί το κανονιστικό πλαίσιο: ενδεικτικά, χρειάζονται εφαρμοστικοί νόμοι στα κράτη μέλη, θεσμικό πλαίσιο, οργανισμοί πιστοποίησης και ελέγχου συστημάτων ΑΙ, φορείς παρακολούθησης των συστημάτων ΑΙ για παρέκκλιση από την ορθή λειτουργία και χρήση, υποδομές πειραματισμού (sandboxes), κ.ά. Οι ραγδαίες τεχνολογικές εξελίξεις, σε συνδυασμό με το εξελισσόμενο κανονιστικό πλαίσιο, θα φέρουν καταιγιστικές αλλαγές, οι οποίες δεν αφήνουν περιθώρια για εφησυχασμό, απαιτώντας πλήρη προσοχή από όλους μας. Για αυτό, στην ΕΥ, εργαζόμαστε πάνω στο πλαίσιο υπεύθυνης χρήσης της τεχνητής νοημοσύνης εδώ και αρκετά χρόνια και έχουμε αναπτύξει μια μεθοδολογία που περιλαμβάνει απαιτήσεις και εργαλεία, όπως ένας Δείκτης Εμπιστοσύνης για την αξιολόγηση μοντέλων και τη συμμόρφωση στα κανονιστικά πλαίσια. Έτσι, πιστεύουμε ότι μπορούμε να βοηθήσουμε τους πελάτες μας στην υιοθέτηση και την καλύτερη αξιοποίηση της τεχνητής νοημοσύνης, θέτοντας στο επίκεντρο τον άνθρωπο, την καινοτομία και την τεχνολογία».

Επιπρόσθετα, ο κ. Γιώργος Σαραντόπουλος, Εταίρος στο Τμήμα Συμβουλευτικών Υπηρεσιών της EY Ελλάδος, δήλωσε «Οι ελληνικές επιχειρήσεις πρέπει να σχεδιάσουν και να εφαρμόσουν αρχές για την υπεύθυνη χρήση των συστημάτων AI, με διττό στόχο. Αφενός, να εξασφαλίσουν τη συμμόρφωση με τις απαιτήσεις της EU AI Act, και, αφετέρου, να δημιουργήσουν επιπρόσθετη αξία για καλύτερη λήψη αποφάσεων με παράλληλη ενθάρρυνση της αυξανόμενης ανάπτυξης και χρήσης εφαρμογών τεχνητής νοημοσύνης, που θα ωφελούν το κοινωνικό σύνολο και θα συνάδουν με τις ευρωπαϊκές αξίες του σεβασμού και της προστασίας των ατομικών δικαιωμάτων. Για την επίτευξη των στόχων αυτών, στην ΕΥ, προτείνουμε ένα συγκεκριμένο πλαίσιο δράσεων, καθώς και λύσεις προσαρμοσμένες στις ιδιαιτερότητες των επιχειρήσεων, για την βέλτιστη υιοθέτηση και την υπεύθυνη χρήση της τεχνητής νοημοσύνης».