Regulamentul (UE) 2024/1689 privind inteligența artificială (AI Act): cum OpenKBS asigură conformitatea pentru întreprinderi

Regulamentul (UE) 2024/1689 al Parlamentului European și al Consiliului (AI Act) este primul act legislativ din lume care reglementează sistemele de inteligență artificială. Regulamentul a intrat în vigoare la 1 august 2024 și se aplică în etape, cu aplicare integrală de la 2 august 2026.

Ca regulament al UE, AI Act se aplică direct în toate statele membre ale Uniunii Europene, inclusiv în România, fără a fi necesară transpunerea națională.

Obligația privind alfabetizarea în domeniul IA în temeiul art. 4 din Regulament este în vigoare din 2 februarie 2025. Organizațiile care utilizează sisteme de IA sunt deja obligate să asigure un nivel suficient de alfabetizare în domeniul IA pentru personalul lor.

Audit de conformitate integrat în OpenKBS Studio

OpenKBS Studio include un AI Act Compliance Skill integrat care auditează automat proiectul și generează un raport de conformitate structurat. Skill-ul analizează ce modele de IA sunt utilizate, le clasifică pe categorii de risc conform Anexei III, verifică prezența mecanismelor de supraveghere umană, a măsurilor de trasabilitate și transparență, și produce un raport documentat gata de prezentat autorităților de reglementare sau pentru audit intern. Procesul este inițiat printr-o singură instrucțiune către agentul AI și nu necesită nicio configurare suplimentară.

Aplicare în etape

DatăCe intră în vigoare
1 august 2024Regulamentul intră în vigoare
2 februarie 2025Practici de IA interzise (art. 5) și obligația de alfabetizare IA (art. 4)
2 august 2025Norme pentru modelele de IA cu scop general (GPAI)
2 august 2026Aplicare integrală: sisteme de IA cu risc ridicat, evaluarea conformității, sancțiuni
2 august 2027Sisteme cu risc ridicat din Anexa I (IA cu risc ridicat integrată în produse: dispozitive medicale, mașini, jucării)

Obligația de alfabetizare în domeniul IA (art. 4)

Art. 4 din Regulamentul (UE) 2024/1689 obligă furnizorii și implementatorii de sisteme de IA să ia măsuri care să asigure un nivel suficient de alfabetizare în domeniul IA a personalului lor și a persoanelor care operează sisteme de IA în numele lor.

Cine este vizat

Obligația acoperă:

  • angajații care utilizează instrumente de IA în activitatea zilnică;
  • managerii care iau decizii pe baza rezultatelor IA;
  • echipele de selecție a furnizorilor și tehnologiilor;
  • contractorii și personalul externalizat care operează sisteme de IA în numele organizației;
  • organele de conducere cu funcții de supraveghere asupra sistemelor de IA.

Ce se cere

Regulamentul nu prescrie un format, o durată sau un program de formare specific. Standardul este adecvarea în raport cu rolul, ținând cont de cunoștințele tehnice, experiența, formarea și contextul utilizării sistemului de IA.

Formările generice care nu abordează sistemele de IA specifice utilizate în organizație sunt considerate insuficiente. Formarea trebuie să acopere:

  • capacitățile și limitările sistemelor de IA specifice;
  • riscurile asociate utilizării acestora;
  • evaluarea critică a rezultatelor IA;
  • considerații etice, inclusiv prejudecăți și echitate;
  • proceduri de raportare a incidentelor.

Cum se demonstrează conformitatea

Organizațiile trebuie să mențină:

  • o politică de utilizare acceptabilă a IA (AI Acceptable Use Policy);
  • o politică de alfabetizare IA (structura formării, responsabilități, ciclu de actualizare);
  • registre ale formărilor efectuate cu date, participanți și conținut;
  • rezultate ale evaluărilor care demonstrează înțelegerea (nu doar participarea);
  • un jurnal al actualizărilor programului.

Sancțiuni

AI Act nu prevede o amendă directă la nivel UE pentru nerespectarea obligațiilor din art. 4. Cele trei niveluri de sancțiuni ale art. 99 se aplică altor încălcări: până la 35 milioane EUR sau 7% din cifra de afaceri anuală globală pentru practici interzise (art. 5), până la 15 milioane EUR sau 3% pentru obligațiile implementatorilor (art. 26), până la 7,5 milioane EUR sau 1% pentru informații false. Statele membre pot stabili propriile sancțiuni pentru încălcări ale art. 4.

Practici de IA interzise (art. 5)

Din 2 februarie 2025, sunt interzise opt categorii de practici de IA:

  1. Tehnici manipulative de IA care cauzează prejudicii;
  2. Exploatarea vulnerabilităților (vârstă, dizabilitate, situație socio-economică);
  3. Evaluarea socială (social scoring);
  4. Predicția riscului individual de comitere a infracțiunilor;
  5. Colectarea neselectivă de imagini faciale de pe Internet sau din supravegherea video;
  6. Recunoașterea emoțiilor la locul de muncă și în educație;
  7. Categorizarea biometrică pe baza caracteristicilor protejate;
  8. Identificarea biometrică în timp real în spațiile publice (cu excepții limitate pentru aplicarea legii).

Punctul 6 este direct aplicabil oricărei organizații care utilizează IA în managementul resurselor umane.

Sisteme de IA cu risc ridicat (Anexa III)

Anexa III a Regulamentului definește opt domenii în care sistemele de IA sunt clasificate ca prezentând risc ridicat:

DomeniuExemple
BiometrieIdentificare biometrică la distanță, recunoașterea emoțiilor
Infrastructură criticăGestionarea rețelelor energetice, transport, alimentare cu apă
EducațieAdmitere, evaluare, repartizare pe grupe
Ocuparea forței de muncă și managementul lucrătorilorSelecția candidaților, screening de CV-uri, evaluarea performanțelor, decizii de promovare sau concediere
Accesul la servicii esențialeScoring de credit, asigurări, asistență socială
Aplicarea legiiEvaluarea probelor, activitate polițienească predictivă
Migrație și controlul frontierelorEvaluarea cererilor de viză, supravegherea frontierelor
JustițieAnaliză juridică, instrumente predictive pentru decizii judecătorești

Obligațiile implementatorilor de sisteme cu risc ridicat (art. 26)

Organizațiile care implementează sisteme de IA cu risc ridicat sunt obligate să:

  • utilizeze sistemele în conformitate cu instrucțiunile furnizorului;
  • asigure supravegherea umană de către persoane competente;
  • garanteze că datele de intrare sunt adecvate și reprezentative;
  • monitorizeze funcționarea sistemului și să raporteze incidentele grave;
  • păstreze jurnalele generate automat timp de cel puțin 6 luni;
  • informeze reprezentanții lucrătorilor și lucrătorii vizați înainte de implementare;
  • în cazul sistemelor din domeniul ocupării forței de muncă — să informeze candidații că IA participă la procesul de selecție.

Cum OpenKBS adresează cerințele AI Act

Trasabilitatea operațiunilor IA (art. 12, art. 26)

OpenKBS operează întreaga infrastructură IA a clienților săi enterprise pe platformă, inclusiv un proxy IA unificat pentru accesul la mai multe modele de IA (OpenAI, Anthropic, Google).

Fiecare apel către un model de IA trece prin proxy, care înregistrează:

  • ce model de IA a fost utilizat și ce versiune;
  • marcajul temporal al cererii;
  • numărul de tokenuri de intrare și de ieșire;
  • identificatorul proiectului.

Aceste date sunt stocate în infrastructura clientului și sunt disponibile pentru audit. Ele adresează cerințele de trasabilitate a rezultatelor (art. 12) și de păstrare a jurnalelor (art. 26, alin. 6).

Supraveghere umană by design (art. 14, art. 26)

Arhitectura OpenKBS este proiectată astfel încât rezultatele IA să nu fie executate automat fără intervenția umană. Pentru clienții enterprise:

  • sistemele de IA funcționează într-un mediu gestionat cu acces controlat;
  • pentru deciziile critice (HR, finanțe, operațiuni) se aplică un workflow de aprobare — IA generează o recomandare, o persoană autorizată o confirmă sau o respinge;
  • fiecare versiune nouă a soluției trece printr-un proces structurat de revizuire a securității înainte de introducerea în mediul de producție.

Transparență și marcarea conținutului IA (art. 50)

OpenKBS pune la dispoziția clienților enterprise instrumente pentru marcarea conținutului generat de IA:

  • metadate de origine — fiecare răspuns al IA poate conține informații despre model, versiune și data generării;
  • componentă de divulgare (AI Disclosure) — gata de integrat în aplicațiile clientului, informând utilizatorii finali că interacționează cu o IA sau că conținutul a fost generat de IA.

Alfabetizare în domeniul IA (art. 4)

OpenKBS pune la dispoziția clienților enterprise documentație și consultanță privind:

  • capacitățile și limitările modelelor de IA disponibile prin intermediul platformei;
  • riscurile în diferitele categorii de utilizare;
  • bunele practici pentru evaluarea critică a rezultatelor IA;
  • procedurile de raportare a incidentelor.

Această documentație poate servi ca bază pentru programul intern de alfabetizare IA al organizației.

Raport de conformitate (art. 11, art. 26)

OpenKBS pune la dispoziția clienților enterprise un skill specializat pentru generarea automatizată a rapoartelor de conformitate cu AI Act. Skill-ul este instalat in OpenKBS Studio cu un singur clic din secțiunea Skills și este activat printr-o instrucțiune către agentul AI (ex. "generează raport de conformitate AI Act"). Agentul colectează date din jurnalele proxy-ului AI, analizează codul proiectului și generează un raport structurat care conține:

Inventarierea sistemelor de IA:

  • lista completă a modelelor de IA utilizate în proiect (ex. Claude Sonnet 4.6, GPT-4.1, Gemini 2.5 Flash);
  • versiunile modelelor și furnizorii;
  • numărul de apeluri pe model pentru o perioadă selectată;
  • consumul total de tokenuri de intrare și de ieșire.

Clasificarea riscului:

  • evaluarea automată a categoriei de risc conform Anexei III (risc ridicat, limitat, minim);
  • identificarea domeniilor care intră în sfera sistemelor cu risc ridicat (ocuparea forței de muncă, finanțe, educație);
  • recomandări de măsuri suplimentare în cazul IA cu risc ridicat.

Statusul măsurilor de conformitate:

  • prezența AI Act Compliance Skill în proiect;
  • statusul mecanismelor de supraveghere umană (workflow de aprobare);
  • prezența și completitudinea jurnalelor de trasabilitate;
  • statusul componentei AI Disclosure;
  • prezența unei AI Acceptable Use Policy și a unei politici de alfabetizare IA.

Artefact generat: Raportul este generat ca document structurat (PDF/JSON), gata de prezentat autorităților de reglementare, comitetelor interne de audit sau de arhivat ca artefact de conformitate. Generarea periodică (ex. trimestrială) asigură o istorie documentată a utilizării IA în organizație.

Practici interzise și AI Act Compliance Skill

OpenKBS integrează în proiectele enterprise un skill de conformitate specializat — un set de reguli pe care agentul IA le încarcă automat. Aceste reguli includ:

Operațiuni interzise:

  • recunoașterea emoțiilor în contextul ocupării forței de muncă sau al educației;
  • evaluarea socială a persoanelor fizice;
  • categorizarea biometrică pe baza caracteristicilor protejate;
  • tehnici manipulative care exploatează vulnerabilitățile.

Proceduri obligatorii:

  • jurnalizarea fiecărei decizii IA cu date de intrare, date de ieșire, model și marcaj temporal;
  • pentru deciziile din domeniile ocupării forței de muncă, finanțelor și educației — oprirea și solicitarea confirmării de la o persoană autorizată;
  • adăugarea de metadate privind originea IA la conținutul generat;
  • generarea unei evaluări a riscului la introducerea de noi funcționalități IA.

Consolidarea lanțului de aprovizionare IA

O organizație care utilizează modele de IA de la mai mulți furnizori (OpenAI, Anthropic, Google) trebuie să gestioneze conformitatea pentru fiecare în parte — condiții de utilizare diferite, politici de date diferite, niveluri de transparență diferite.

OpenKBS consolidează accesul la mai multe modele de IA printr-un proxy unificat, operat în infrastructura UE a platformei. Clientul interacționează cu un singur furnizor (OpenKBS), care gestionează integrarea cu furnizorii de IA.

Aceasta reduce:

  • numărul de furnizori supuși unei evaluări separate;
  • complexitatea gestionării diferitelor politici de date;
  • sarcina administrativă la documentarea lanțului de aprovizionare IA.

Securitatea infrastructurii

AI Act nu funcționează izolat — organizațiile care intră în sfera Directivei (UE) 2022/2555 (NIS2) trebuie să asigure conformitatea cu ambele acte simultan. OpenKBS adresează ambele cadre prin:

  • Cont AWS dedicat pentru fiecare client enterprise — izolare completă și posibilitate de transfer;
  • EU Data Residency — datele sunt găzduite în regiunea AWS eu-central-1 (Frankfurt, Germania);
  • Arhitectură serverless — suprafață de atac redusă, actualizări automate de securitate;
  • Criptare — TLS 1.2+ în tranzit, AES-256 în repaus;
  • Jurnal de audit — trasabilitatea tuturor acțiunilor administrative.

O descriere detaliată a acoperirii NIS2 este disponibilă în publicația privind Directiva (UE) 2022/2555.

Rezumat: acoperirea cerințelor principale

Cerință AI ActCum o adresează OpenKBS
Alfabetizare IA (art. 4)Documentație, consultanță și materiale pentru programul de alfabetizare IA
Practici interzise (art. 5)AI Act Compliance Skill cu interdicții integrate
Trasabilitate (art. 12)Jurnale proxy IA: model, versiune, marcaj temporal, proiect
Supraveghere umană (art. 14, 26)Workflow de aprobare pentru decizii cu risc ridicat
Transparență (art. 50)Componentă AI Disclosure și metadate de origine
Jurnalizare (art. 26, alin. 6)Stocare automată a jurnalelor în infrastructura clientului
Documentație tehnică (art. 11)Raport de conformitate automatizat per proiect
Informarea lucrătorilor (art. 26, alin. 7)Consultanță privind procedurile de notificare
Managementul lanțului de aprovizionareProxy IA consolidat — un furnizor în loc de mai mulți
NIS2 + AI Act împreunăInfrastructură unificată care acoperă ambele acte

Pasul următor

Dacă organizația dumneavoastră utilizează sisteme de IA și trebuie să asigure conformitatea cu Regulamentul (UE) 2024/1689, contactați-ne pentru o consultație privind:

  • evaluarea utilizării actuale a IA în raport cu cerințele Regulamentului;
  • clasificarea sistemelor de IA pe categorii de risc;
  • implementarea AI Act Compliance Skill în mediul gestionat;
  • generarea unui raport de conformitate pentru autoritățile de reglementare sau audit intern;
  • program de alfabetizare IA pentru personal.

Serviciile descrise pentru conformitatea cu AI Act — compliance skill, auditul utilizării IA, workflow de supraveghere umană și raport de conformitate — fac parte din planul Enterprise al OpenKBS.

Prezenta publicație are caracter exclusiv informativ și nu constituie consultanță juridică. Pentru întrebări specifice privind aplicarea Regulamentului (UE) 2024/1689, adresați-vă unui consultant juridic calificat.

Book a Strategy Call
Regulamentul AIAI Actalfabetizare AIIA cu risc ridicatconformitateAWSenterpriseOpenKBS