EU AI Act — cum clasifici corect sistemul AI: minimal, limited, high sau unacceptable risk (decision tree practic)

EU AI Act, Regulamentul (UE) 2024/1689, a intrat în vigoare la 1 august 2024. Aplicarea se face etapizat: interzicerile (sisteme cu risc inacceptabil) se aplică de la 2 februarie 2025, obligațiile pentru GPAI (General Purpose AI) de la 2 august 2025, restul cerințelor pentru high-risk de la 2 august 2026, iar dispozițiile pentru high-risk în Anexa I de la 2 august 2027.

Întrebarea practică pentru orice companie europeană care folosește AI: “în ce categorie cade sistemul nostru?” Acest articol oferă un decision tree concret și obligațiile per categorie.

TL;DR

• AI Act stabilește patru niveluri de risc: minimal, limited, high, unacceptable.
• Sistemele “unacceptable” sunt interzise de la 2 februarie 2025: social scoring guvernamental, manipulare subliminală, recunoaștere emoții la locul de muncă/școală, real-time biometric la distanță în spațiu public.
• “High-risk” în Anexa III: angajare, educație, credit scoring, justiție, azil/imigrație, infrastructură critică.
• GPAI peste 10^25 FLOPS pre-training (GPT-4 class) au cerințe sistemice suplimentare.
• Sancțiuni: până la 35 milioane EUR sau 7% din cifra de afaceri globală pentru încălcările interzicerilor.

Cele patru categorii — definiția

Risc inacceptabil (Art. 5). Sisteme interzise complet în UE. Lista exhaustivă include:

• Manipularea subliminală sau exploatarea vulnerabilităților (vârstă, dizabilitate, situație economică) cu scopul de a induce un comportament dăunător.
• Social scoring de către autorități publice.
• Recunoașterea emoțiilor la locul de muncă și în instituții de învățământ (cu excepții medicale).
• Real-time remote biometric identification în spații accesibile public, în scopuri de aplicare a legii (cu excepții stricte: căutare victime răpire, prevenire amenințare iminentă, identificare suspecți pentru infracțiuni grave listate).
• Categorisare biometrică pe baza datelor sensibile (rasă, opinii politice, orientare sexuală, religie).
• Predictive policing individuală pe bază de profilare.
• Compilarea bazelor de date facial recognition prin scraping de pe internet sau CCTV.

Risc ridicat (Art. 6 + Anexa III). Sisteme permise dar puternic reglementate. Anexa III listează 8 zone:

1. Identificare biometrică, categorisare biometrică, recunoaștere emoții (când nu sunt interzise per Art. 5).
2. Infrastructură critică — gestionare trafic rutier, electric, apă, gaz.
3. Educație și formare profesională — admitere, evaluare studenți, monitorizare comportament la examen.
4. Angajare și management resurse umane — recrutare, evaluare candidați, decizii de promovare/concediere, alocare task-uri.
5. Acces la servicii publice și private esențiale — credit scoring, asigurări de viață, prioritizare servicii de urgență, eligibilitate beneficii sociale.
6. Aplicarea legii — evaluare risc victimă, evaluare credibilitate probe, profilare suspecți, predictive policing.
7. Migrație, azil, control frontiere — risk assessment, documente călătorie, examinare cereri azil.
8. Justiție și procese democratice — sisteme care influențează decizii judiciare sau alegeri.

Risc limitat (Art. 50). Sisteme cu obligații de transparență. Tipic: chatbot-uri (informarea utilizatorului că vorbește cu AI), generare deepfake (etichetare obligatorie), generare conținut sintetic (watermarking în formate machine-readable).

Risc minimal. Restul. Filtre spam, recommender de ecommerce, NPC-uri în jocuri video, optimizatoare de inventar. Fără obligații specifice peste cele generale GDPR.

Decision tree practic

Pasul 1: Sistemul tău cade sub Art. 5 (interzis)?

• Manipulează subliminal? Exploatează vulnerabilități? Folosește biometrie sensibilă pentru categorisire? Face emotion recognition la work/school? Compilează DB facial recognition prin scraping?
• Dacă da → STOP. Sistemul nu poate fi pus pe piața UE.
• Dacă nu → trecere la pasul 2.

Pasul 2: Sistemul tău este safety component al unui produs reglementat în Anexa I?

Anexa I listează 12 directive sectoriale (mașini, jucării, ascensoare, dispozitive medicale, dispozitive medicale in vitro, vehicule cu motor, etc.). Dacă AI-ul tău este componentă de siguranță într-un astfel de produs → high-risk.

Pasul 3: Sistemul tău este în Anexa III?

Verifică cele 8 zone listate mai sus. Atenție la zonele 4 (HR) și 5 (credit scoring) — aici cad foarte multe SaaS-uri B2B care nu se consideră “AI sensibile” la prima vedere.

Pasul 4: Sistemul tău este în Anexa III dar îndeplinește excepția Art. 6(3)?

Articolul 6(3), introdus prin compromisul final din decembrie 2023, permite providers să auto-evalueze că sistemul “nu prezintă un risc semnificativ” dacă îndeplinește una din patru condiții:

• Realizează o sarcină procedurală îngustă.
• Îmbunătățește rezultatul unei activități umane finalizate anterior.
• Detectează tipare de luare de decizii fără a înlocui sau influența decizia umană.
• Realizează o sarcină pregătitoare pentru evaluarea relevantă a Anexei III.

Important: această excepție trebuie documentată într-un FRIA (Fundamental Rights Impact Assessment) și înregistrată în EU AI Database. Nu e o auto-declarare neformală.

Pasul 5: Sistemul tău este chatbot, generator de imagine, deepfake, conținut sintetic?

→ Risc limitat. Obligații de transparență per Art. 50.

Pasul 6: Restul → risc minimal. Fără obligații specifice.

Obligații pentru High-Risk (Art. 8-15)

Pentru un sistem clasificat high-risk, providers (cei care îl pun pe piață) trebuie:

• Risk management system documentat și menținut pe durata vieții sistemului.
• Data governance — calitate date training, validare, testare; măsuri împotriva bias-ului.
• Documentație tehnică completă (Anexa IV — 9 secțiuni).
• Logging automat al evenimentelor pe durata operațională.
• Transparență și informații pentru deployers — instrucțiuni clare.
• Human oversight prin design.
• Acuratețe, robustețe și cybersecurity — testare pre-deployment, mecanisme contra adversarial attacks.
• Quality management system — proceduri formale.
• EU declaration of conformity + CE marking.
• Înregistrare în EU AI Database înainte de plasare pe piață.
• Post-market monitoring + raportare incidente serioase la autorități.

Pentru deployers (utilizatori profesionali) — Art. 26: instrucțiuni provider, supraveghere umană, păstrare loguri, monitorizare conform riscurilor identificate. Pentru high-risk în zone publice — FRIA obligatoriu.

GPAI — General Purpose AI Models (Art. 51-56)

Articolele 51-56 reglementează separat modelele AI “de uz general” — LLM-uri mari de tip GPT-4, Claude, Gemini, Llama. Două nivele:

GPAI standard. Toate modelele dincolo de prag (10^23 FLOPS pre-training, indicativ). Obligații:

• Documentație tehnică (Anexa XI).
• Informații pentru downstream deployers (Anexa XII).
• Politică de respect a drepturilor de autor (TDM opt-outs).
• Rezumat public al datelor de training.

GPAI cu risc sistemic (peste 10^25 FLOPS). Obligații suplimentare:

• Evaluare model conform metodologiilor state-of-the-art.
• Risk assessment și mitigare la nivel UE.
• Raportare incidente serioase la AI Office.
• Cybersecurity adecvat la nivel de model + infrastructură.

În practică, în 2026, lista GPAI cu risc sistemic include GPT-4o, Claude 3.5 Sonnet, Gemini Ultra, Grok-2, Llama 3.1 405B. Open-source models cu greutăți publice intră într-un regim modificat.

Sancțiuni — până la 35 milioane EUR

Articolul 99 stabilește amenzile maxime:

• Încălcarea Art. 5 (sisteme interzise): 35 milioane EUR sau 7% din cifra de afaceri globală.
• Încălcarea altor obligații high-risk: 15 milioane EUR sau 3%.
• Furnizare informații incorecte autorităților: 7,5 milioane EUR sau 1%.

Pentru GPAI providers, AI Office poate aplica direct amenzi de până la 3% din cifra de afaceri globală sau 15 milioane EUR.

Cum ajută Lexnomia

Lexnomia include un modul AI Act care:

• Decision tree interactiv pentru clasificare cu output FRIA template.
• Inventar AI sisteme cu mapping automat la Art. 5 / Anexa III.
• Logging automat al deciziilor AI cu retention configurabil.
• Watermarking helper pentru conținut sintetic generat.
• Cross-mapping cu GDPR Art. 22 (decizie automată), ISO 27001:2022 (detalii migrare) și NIS2 (checklist).

Vezi și articolul nostru pe pattern multi-LLM fallback pentru considerații de robustețe sistemică.

Articole conexe

• EU AI Act: obligații pentru companii care fine-tune LLM-uri
• Implementation NIS2 — checklist operațional pentru entități esențiale și importante
• Observability of AI agents: ce trebuie să monitorizezi în producție
• Pillar Lexnomia — platforma EU de compliance suveran

Pași următori

Pentru clasificarea concretă a sistemului dvs. AI și planul de conformitate — pe pagina Lexnomia găsiți modulul AI Act. Sau scrieți la contact pentru o discuție tehnică.

Referințe

• Regulamentul (UE) 2024/1689 — text consolidat EUR-Lex
• European AI Office — informații oficiale
• EU AI Act explorer (CEPS)
• ENISA — AI cybersecurity guidance
• NIST AI Risk Management Framework