Što se mijenja od kolovoza 2025.
Od kolovoza 2025. u Europskoj uniji počinju se primjenjivati posebna pravila za AI modele opće namjene, takozvane foundation modele. Riječ je o velikim jezičnim i multimodalnim modelima koji su temelj većine današnjih generativnih servisa – od chatbota i alata za pisanje teksta, do generatora slika, videa i programskog koda.
Ta su pravila dio Akta o umjetnoj inteligenciji (EU AI Act). Cilj im je povećati transparentnost, sigurnost i odgovornost onih koji razvijaju i stavljaju na tržište velike AI modele, bez obzira koriste li se oni kasnije u poslovnim, javnim ili potrošačkim aplikacijama.
Za razliku od dosadašnjeg pristupa, fokus više nije samo na krajnjim sustavima visokog rizika (primjerice u zdravstvu, zapošljavanju ili kritičnoj infrastrukturi). EU sada regulira i sam temelj – generativne modele na kojima se ti sustavi grade.
Što su AI modeli opće namjene
AI modeli opće namjene (general-purpose AI, GPAI) su modeli koji nisu razvijeni za jednu usku zadaću, već se mogu prilagoditi za širok raspon primjena. Tipični primjeri su veliki jezični modeli (LLM) koji mogu pisati tekst, prevoditi, analizirati dokumente ili odgovarati na pitanja, te multimodalni modeli koji istovremeno rade s tekstom, slikom, zvukom ili videom.
U praksi, većina generativnih AI alata u poslovnim rješenjima, državnoj upravi ili potrošačkim aplikacijama oslanja se na takve temeljne modele. Oni se često nude putem API-ja ili cloud platformi i dodatno prilagođavaju (fine-tuning, prompt engineering) za konkretne slučajeve uporabe.
Zbog njihove središnje uloge, svaka greška, pristranost ili sigurnosni propust u foundation modelu može se multiplicirati kroz stotine ili tisuće usluga koje ga koriste. Upravo zato EU AI Act uvodi poseban skup obveza za dobavljače takvih modela.
Ključne obveze za dobavljače foundation modela
Transparentnost podataka za treniranje
Dobavljači AI modela opće namjene morat će pružiti jasne informacije o tome na kojim su podacima modeli trenirani i kako je taj proces vođen. U praksi to znači:
- objavu sažetaka korištenih skupova podataka (datasetova), uključujući glavne izvore i tipove sadržaja
- opis kriterija odabira podataka i postupaka čišćenja (filtriranje, anonimizacija, uklanjanje osjetljivih podataka)
- objašnjenje kako se rješavaju potencijalne pristranosti i zastupljenost različitih skupina
Cilj nije otkrivanje poslovnih tajni ili točne strukture svakog dataseta, već omogućavanje regulatorima, istraživačima i korisnicima osnovnog uvida u „porijeklo“ modela i njegove moguće slabosti.
Sigurnosne mjere i upravljanje rizicima
Dobavljači će morati dokazati da sustavno upravljaju sigurnosnim rizicima modela. To uključuje:
- testiranje otpornosti modela na zloporabu (primjerice generiranje dezinformacija, nasilnog sadržaja, uputa za kriminalne aktivnosti)
- ugrađene mehanizme za filtriranje i moderiranje izlaza modela
- procjene rizika po temama poput diskriminacije, privatnosti, kibernetičke sigurnosti i utjecaja na demokratske procese
- redovito ponovno testiranje nakon većih nadogradnji modela
Te obveze približavaju razvoj foundation modela standardima koji su dosad bili uobičajeni u sigurnosno kritičnim industrijama, poput zrakoplovstva ili farmacije – ali prilagođeno digitalnom kontekstu.
Poštivanje autorskih prava
Jedan od najosjetljivijih aspekata je korištenje zaštićenih djela u treniranju modela. EU AI Act traži da dobavljači:
- dokumentiraju kako su prikupljeni podaci koji mogu biti zaštićeni autorskim pravima
- poštuju postojeća pravila o text and data miningu te mogućnosti isključenja (opt-out) koje su autori i izdavači već dobili u EU zakonodavstvu
- omoguće mehanizme za obradu zahtjeva nositelja prava, uključujući brisanje ili ograničavanje korištenja određenih izvora u budućim verzijama modela
Za kreatore sadržaja, izdavače i medije to otvara prostor za konkretniji dijalog s tehnološkim tvrtkama o uvjetima korištenja njihovih djela u treniranju.
Poseban režim za modele s visokim utjecajem
Akt razlikuje „standardne“ AI modele opće namjene od onih s visokim utjecajem (high-impact foundation models). Ova druga skupina obuhvaća modele koji zbog svoje veličine, tehničkih mogućnosti ili tržišnog dosega mogu imati značajne društvene posljedice.
Iako se tehnički kriteriji još operacionaliziraju, u praksi se radi o modelima s vrlo velikim brojem parametara, izuzetno širokim spektrom sposobnosti i masovnom uporabom preko velikih platformi.
Dodatne obveze za high-impact modele
Za takve modele propisane su strože mjere:
- naprednije i kontinuirane procjene rizika, uključujući scenarije zlouporabe na razini društva (npr. koordinirane dezinformacijske kampanje)
- robustniji tehnički i organizacijski mehanizmi nadzora nad korištenjem, uključujući praćenje anomalnog prometa i potencijalno štetnih uzoraka uporabe
- dublje testiranje sigurnosti, otpornosti i robusnosti modela prije puštanja na tržište
- jasni protokoli za odgovor na incidente, povlačenje ili ograničavanje funkcionalnosti modela kada se otkriju ozbiljni rizici
Time se pokušava adresirati činjenica da nekoliko globalnih dobavljača danas drži ključnu infrastrukturu generativne AI, čiji utjecaj prelazi granice pojedinih sektora ili država.
Što to znači za europske i lokalne tvrtke
Za tvrtke koje grade proizvode na vrhu velikih modela poruka je dvostruka.
Dio tereta prelazi na dobavljače modela
S jedne strane, dio obveza usklađivanja prebacuje se na same dobavljače foundation modela. Oni će morati:
- isporučivati tehničku dokumentaciju o modelu (opis sposobnosti, ograničenja, poznati rizici)
- davati upute za sigurnu integraciju i konfiguraciju modela u različitim okruženjima
- nuditi ugovorne garancije vezane uz usklađenost, podršku i ažuriranja
To bi europskim integratorima i startupima trebalo olakšati dokazivanje sukladnosti njihovih rješenja, jer neće morati od nule objašnjavati kako funkcionira temeljni model koji koriste.
Odgovornost za krajnju primjenu ostaje
S druge strane, poduzeća koja integriraju generativnu AI u svoje usluge i dalje ostaju odgovorna za način na koji te modele koriste. To znači da će morati:
- jasno definirati svrhu i kontekst primjene modela (npr. chatbot za korisničku podršku, automatizirana analiza ugovora, generiranje sadržaja)
- voditi evidenciju o konfiguraciji, promptovima, dodatnim podacima za treniranje ili prilagodbu (fine-tuning)
- procijeniti rizike specifične za svoju domenu – primjerice diskriminaciju u zapošljavanju ili netočan medicinski savjet
- osigurati da krajnji sustav poštuje pravila o rizicima, zaštiti podataka, nediskriminaciji i transparentnosti prema korisnicima
Primjerice, banka koja koristi generativni model za preliminarnu analizu zahtjeva za kredit i dalje će morati dokazati da odluke nisu diskriminatorne, da klijenti znaju kada komuniciraju s AI sustavom i da postoji mogućnost ljudske intervencije.
Kako će se nova pravila vidjeti u praksi
Iako regulativa zvuči apstraktno, promjene će se postupno preliti u vrlo konkretne alate i procese.
Tehnička dokumentacija i „AI kartice“
Očekuje se širenje standardiziranih tehničkih kartica za modele (model cards) i sustave (system cards). One će sažeto opisivati:
- za što je model prikladan, a za što nije
- na kojim je podacima treniran
- poznate pristranosti i ograničenja
- preporuke za sigurno korištenje u različitim sektorima
Tvrtke će takvu dokumentaciju koristiti u svojim procjenama rizika i internim pravilima za uporabu AI-ja.
Procesi za upravljanje incidentima
Dobavljači modela i njihovi korisnici morat će uspostaviti jasne kanale za prijavu problema, poput:
- prijave štetnog ili nezakonitog sadržaja koji generira model
- obavijesti o sigurnosnim ranjivostima
- zahtjeva za ispravak ili ograničenje funkcionalnosti
Veliki modeli će se sve više promatrati kao kritična digitalna infrastruktura, s pravilima za nadogradnje, hitne zakrpe i transparentno izvještavanje o incidentima.
Utjecaj na korisnike i društvo
Za korisnike i širu javnost nova pravila donose dodatnu administraciju u pozadini, ali i potencijalno više povjerenja u tehnologiju koja sve brže ulazi u svakodnevni život.
Veća vidljivost i zaštita autorskih prava
Transparentnije informacije o treniranju modela mogu pomoći autorima, novinarima, fotografima i drugim kreatorima da bolje razumiju kako se njihovi radovi koriste. Dugoročno to može olakšati razvoj licencnih modela, kolektivnih ugovora i alata za upravljanje pravima u kontekstu AI-ja.
Smanjenje rizika od zloporabe
Jasnije sigurnosne obveze i obvezno testiranje modela smanjuju rizik od:
- masovnog širenja dezinformacija generiranih AI-jem
- automatiziranih prijevara i socijalnog inženjeringa
- ciljanog uznemiravanja i zloporabe osobnih podataka
Iako nijedna regulativa ne može potpuno ukloniti rizike, obveza sustavnog praćenja i reagiranja na incidente stvara dodatni pritisak na dobavljače da proaktivno rješavaju probleme.
Može li EU uskladiti inovacije i regulaciju?
Ključno pitanje je hoće li europski pristup uspjeti pomiriti ambiciju brzog razvoja umjetne inteligencije s potrebom za odgovornim upravljanjem rizicima. Kritičari upozoravaju da bi prevelik regulatorni teret mogao usporiti inovacije i otežati ulazak novih igrača na tržište foundation modela.
S druge strane, podržavatelji ističu da će jasna pravila i predvidljivo okruženje dugoročno koristiti i industriji i društvu. Tvrtke će znati što se od njih očekuje, a korisnici će imati više informacija o sustavima s kojima svakodnevno dolaze u kontakt.
Sljedeći mjeseci bit će presudni. Europska komisija, nacionalna nadležna tijela i industrija morat će zajednički razviti praktične smjernice, standarde i alate koji će omogućiti provedbu EU AI Acta bez gušenja inovacija. Uspjeh tog procesa odredit će ne samo kako će se AI razvijati u Europi, nego i koliko će se europski model regulacije prihvatiti kao uzor u drugim dijelovima svijeta.
