Mario Mikić-Vučak 3. svibnja 2026.

EU AI Act i generativna AI: što doista znači rok 2. kolovoza 2026.

EU AI Act i generativna AI: što doista znači rok 2. kolovoza 2026.

Zašto je kolovoz 2026. prekretnica za AI u Europi

Rasprave o EU AI Actu traju godinama, ali tek sada postaje jasno koliko će ovaj propis konkretno promijeniti način na koji europske tvrtke koriste generativnu umjetnu inteligenciju. Pokušaj da se kroz tzv. Digitalni omnibus odgode ključne obveze završio je neuspjehom krajem travnja. To znači da rok za visoko‑rizične AI sustave ostaje nepromijenjen: 2. kolovoza 2026.

Do tog datuma svi koji razvijaju ili koriste AI sustave za donošenje odluka o ljudima – od zapošljavanja, procjene učinka zaposlenika i dodjele socijalnih naknada do kreditnog bodovanja i automatizirane procjene rizika – morat će imati uspostavljene stroge procese upravljanja rizikom, praćenja podataka i transparentnosti. To se posebno odnosi na generativnu AI i velike jezične modele (LLM‑ove) koji se sve češće koriste kao temelj poslovnih procesa.

Što EU AI Act konkretno mijenja za generativnu AI

EU AI Act ne regulira samo modele, već cijele AI sustave. Fokus je na svrsi i kontekstu primjene, a ne samo na tehničkim karakteristikama. Ako se generativni model koristi za odluke koje imaju značajan učinak na prava i obveze pojedinaca, sustav vrlo vjerojatno ulazi u kategoriju visokog rizika.

Od API integracije do odgovornosti za cijeli sustav

Za tvrtke koje su do sada „samo” integrirale API nekog velikog modela u svoj proizvod, to je velika promjena. Regulator gleda na:

  • tko definira svrhu korištenja modela (npr. odabir kandidata za posao, automatsko odbijanje kredita),
  • kako se model trenira ili prilagođava (fine‑tuning, prompt inženjering, korištenje internih datasetova),
  • koje podatke sustav obrađuje (osobni podaci, osjetljive kategorije, povijesni zapisi),
  • kako se prati točnost, pristranost i robusnost,
  • kako se korisnicima objašnjava da komuniciraju s AI‑jem i koje su granice tog sustava.

Čak i ako poduzeće koristi „tuđi” model u cloudu, ono postaje odgovorno za dizajn i upravljanje vlastitim AI sustavom koji se na tom modelu temelji. To uključuje i manje SaaS proizvode i interne alate, ne samo velike platforme.

Obvezni elementi: dokumentacija, rizici, nadzor

Za visoko‑rizične AI sustave EU AI Act propisuje niz obveznih elemenata. U praksi to znači:

  • Upravljanje rizikom – sustavno prepoznavanje, procjena i ublažavanje rizika po sigurnost, temeljna prava i diskriminaciju. To uključuje testiranje modela na pristranost, lažno pozitivne i lažno negativne odluke te scenarije zloporabe.
  • Tehnička dokumentacija – opis arhitekture sustava, korištenih modela, parametara, datasetova za treniranje i validaciju, te ograničenja sustava.
  • Registar podataka – evidencija ključnih skupova podataka, kriterija odabira, izvora i postupaka čišćenja, uz posebnu pažnju na osobne i osjetljive podatke.
  • Transparentnost prema korisnicima – jasna informacija da komuniciraju s AI‑jem, što sustav može, a što ne može, te kako se odluke mogu osporiti.
  • Ljudski nadzor – definiranje tko smije intervenirati u odluke sustava, u kojim slučajevima i na koji način, uključujući mogućnost isključivanja ili poništavanja AI odluke.

Za generativnu AI to dodatno otvara pitanja poput: kako se nositi s halucinacijama modela, tko je odgovoran za sadržaj koji model generira i kako spriječiti da izlaz modela postane osnova za diskriminatorne ili netočne odluke.

Regulacija i inovacija: 63,2 milijuna eura za AI u zdravstvu i sigurnosti

Europska komisija pokušava pokazati da stroža pravila ne znače usporavanje inovacija. U travnju su otvoreni natječaji ukupne vrijednosti 63,2 milijuna eura za projekte umjetne inteligencije u zdravstvu i online sigurnosti.

Dio sredstava, oko 9 milijuna eura, usmjeren je na razvoj AI sustava za analizu medicinskih slika. To uključuje modele za rano otkrivanje bolesti, automatiziranu procjenu nalaza i podršku radiolozima u svakodnevnom radu. Dodatnih 24 milijuna eura namijenjeno je digitalnim zdravstvenim uslugama unutar European Health Data Spacea, zajedničkog okvira za razmjenu zdravstvenih podataka u EU.

Cilj je istovremeno podići sigurnosne standarde i ubrzati uvođenje AI rješenja koja mogu unaprijediti prevenciju, dijagnostiku i kvalitetu skrbi. Time Komisija šalje signal da će dobro dokumentirani, sigurni i interoperabilni AI sustavi imati pristup i reguliranom tržištu i europskim fondovima.

Preklapanje s drugim propisima: DMA ulazi u cloud i AI

EU AI Act ne dolazi u praznom regulatornom prostoru. Paralelno se provodi i Digital Markets Act (DMA), čija se pravila sada eksplicitno šire na cloud i AI usluge. Cilj je učiniti tržište „pravednijim i contestabilnim”, odnosno smanjiti ovisnost o zatvorenim ekosustavima velikih tehnoloških kompanija.

Što to znači za velike platforme

Za velike igrače to može značiti ograničavanje prakse vezanja vlastitih AI modela uz vlastitu infrastrukturu, uvjete licenciranja i formate podataka koji otežavaju prelazak korisnika na konkurentska rješenja. Regulatori sve više gledaju na:

  • interoperabilnost AI usluga između različitih cloud okruženja,
  • prijenos podataka i modela bez nerazmjernih naknada ili tehničkih barijera,
  • uvjete korištenja modela koji ne onemogućuju razvoj konkurentskih rješenja na istim podacima ili platformama.

Šansa i izazov za europske startupe

Za europske startupe i manje pružatelje AI usluga ovo otvara prostor za lakši ulazak na tržište. Manje je vjerojatno da će korisnici biti „zaključani” u jedan ekosustav, a interoperabilnost i standardizirani formati mogli bi olakšati migraciju modela, datasetova i radnih procesa.

S druge strane, stroža pravila oko interoperabilnosti, prijenosa podataka i ugovornih uvjeta znače da će i manji igrači morati ozbiljnije pristupiti dokumentaciji, sigurnosti i upravljanju podacima. To povećava troškove u ranoj fazi, ali i smanjuje rizik da poslovni model ovisi o jednoj zatvorenoj platformi.

Većina poduzeća je „svjesna, ali blokirana”

Stručnjaci za sigurnost i usklađenost opisuju stanje u većini srednjih poduzeća kao „svjesni, ali blokirani”. Menadžment zna da AI Act dolazi, ali nema jasnu mapu koraka. U praksi se često događa da AI projekti nastaju stihijski: pojedini odjeli uvode chatbotove, analitičke modele ili generativne asistente bez centralnog pregleda i upravljanja.

To stvara rizik da će se u trenutku stupanja na snagu ključnih odredbi otkriti da u organizaciji postoji desetak ili više AI sustava koje nitko ne može do kraja objasniti, dokumentirati ili nadzirati. Upravo zato stručnjaci savjetuju da se priprema za kolovoz 2026. ne shvati kao jednokratni „compliance projekt”, već kao početak sustavnog upravljanja AI‑jem.

Kako se pripremiti: od inventara modela do metrika rizika

Tvrtke koje koriste LLM‑ove i multimodalne modele u idućim mjesecima moraju izgraditi osnovnu infrastrukturu upravljanja AI sustavima. Ključni koraci su relativno jasni, ali traže koordinaciju IT‑a, pravne službe, sigurnosti i poslovnih odjela.

1. Katalog svih AI sustava u upotrebi

Prvi korak je inventarizacija. Organizacije trebaju sastaviti katalog svih AI sustava i agenata u upotrebi, uključujući:

  • vanjske servise (npr. LLM API‑je, generativne asistente, SaaS alate s ugrađenom AI funkcionalnošću),
  • interne modele (klasični modeli strojnog učenja, duboke neuronske mreže, LLM‑ovi, specijalizirani modeli za predikciju ili klasifikaciju),
  • edge i on‑premise rješenja (AI na lokalnim serverima ili uređajima).

Za svaki sustav potrebno je zabilježiti svrhu, tip podataka koje obrađuje, korištene modele i dobavljače, te procijeniti ulazi li u kategoriju visokog rizika prema AI Actu.

2. Pravila za podatke: što smije u treniranje i fine‑tuning

Sljedeći korak je definiranje jasnih pravila kojih se podataka smije koristiti za treniranje, fine‑tuning i evaluaciju modela. To uključuje:

  • razdvajanje osobnih i neosobnih podataka,
  • posebna pravila za osjetljive podatke (zdravlje, etnička pripadnost, politička uvjerenja itd.),
  • politike anonimizacije i pseudonimizacije,
  • ograničenja za korištenje korisničkog sadržaja u treniranju, posebno u kontekstu ugovornih obveza i GDPR‑a.

Za generativnu AI dodatno je važno definirati kako se pohranjuju upiti korisnika i izlazi modela, te mogu li se koristiti za poboljšanje modela ili moraju ostati izolirani.

3. Mjerljive kontrole rizika i učinka

AI Act potiče pristup temeljen na riziku. To znači da tvrtke moraju razviti metrike kojima prate učinak i rizike svojih AI sustava. Primjeri uključuju:

  • stope pogrešaka i halucinacija kod generativnih modela,
  • razlike u ishodima po skupinama korisnika (npr. spol, dob, regija) kako bi se otkrila pristranost,
  • vrijeme odgovora i dostupnost sustava u kritičnim procesima,
  • broj slučajeva u kojima je ljudski nadzor ispravio ili poništio odluku AI‑ja.

Na temelju tih metrika moguće je definirati pragove rizika, procedure za eskalaciju problema i planove za povlačenje ili izmjenu modela ako se pokaže da stvara neprihvatljive rizike.

Povjerenje kao nova konkurentska prednost

Kako se približava kolovoz 2026., razlika između onih koji proaktivno grade sustave upravljanja AI‑jem i onih koji čekaju „zadnji trenutak” postajat će sve vidljivija. Tvrtke koje na vrijeme uspostave katalog modela, pravila za podatke i mjerljive kontrole rizika bit će ne samo usklađene s propisima, već i u boljoj poziciji na tržištu.

U okruženju u kojem će se korisnici, partneri i regulatori sve više pitati kako je neki AI sustav donio određenu odluku, povjerenje postaje jednako važno kao i snaga modela. EU AI Act i povezani propisi poput DMA‑a stvaraju okvir u kojem će transparentnost, sigurnost i mogućnost objašnjenja odluka AI‑ja biti ključne značajke svakog ozbiljnog rješenja, posebno onih temeljenih na generativnoj umjetnoj inteligenciji.

Za organizacije koje to na vrijeme prepoznaju, kolovoz 2026. neće biti samo rok za usklađivanje, nego trenutak u kojem će steći jasnu prednost u novom, reguliranom ekosustavu umjetne inteligencije u Europi.

Povezane objave

Natrag na vrh