Mario Mikić-Vučak 31. siječnja 2026.

Kad AI piše pravila za AI: uspon regtech alata za usklađenost s EU AI Actom

Kad AI piše pravila za AI: uspon regtech alata za usklađenost s EU AI Actom

EU AI Act iz teorije u praksu

EU AI Act od političke je teme postao operativni problem. Do kolovoza 2026. ključne odredbe uredbe bit će u punoj primjeni, a to znači da organizacije koje razvijaju ili koriste umjetnu inteligenciju moraju dokazivo upravljati rizicima, voditi detaljnu dokumentaciju i biti spremne na nadzor. Posebno su izloženi subjekti koji koriste visokorizične AI sustave – od financijskog sektora i zdravstva do industrije i javne uprave.

U praksi to znači: precizno znati gdje se AI koristi, na kojim podatkovnim skupovima je model treniran, koje su metrike performansi, kako se nadzire rad sustava u produkciji i na koji način se štite temeljna prava korisnika. Ručno održavanje takvog „registara AI sustava” i prateće dokumentacije brzo postaje neodrživo, osobito u većim organizacijama s desecima ili stotinama modela.

Upravo tu nastupa nova generacija regtech alata – specijaliziranih tehnoloških rješenja koja koriste umjetnu inteligenciju kako bi automatizirala usklađenost s regulativom. U ovom slučaju, fokus je na EU AI Actu i povezanim propisima, ali i na širem okviru: zaštiti podataka, kibernetičkoj sigurnosti i sektorskim standardima.

Kako rade regtech alati za EU AI Act

Moderni regtech sustavi mogu se promatrati kao sloj „AI za regulativu” koji sjedi iznad postojećih IT i AI okruženja. Imaju dva glavna izvora informacija.

1. Strana regulative: „čitanje” zakona i standarda

Prvi izvor su pravila. Alati kontinuirano prate:

  • tekst EU AI Acta i pripadajuće delegirane akte
  • smjernice europskih i nacionalnih nadzornih tijela
  • nacionalne zakone kojima se AI Act provodi
  • sektorske standarde i norme (npr. ISO, IEC, EN)

Uz pomoć velikih jezičnih modela (LLM) i specijaliziranih modela za pravne tekstove, sustav parsira nove verzije dokumenata, označava relevantne članke i uspoređuje ih s prethodnim verzijama. Na taj način nastaje svojevrsni „kontrolirani korpus regulative” koji je strojno čitljiv i povezan s konkretnim obvezama za organizacije.

2. Strana poduzeća: uvid u AI sustave i procese

Drugi izvor su interni podaci tvrtke. Regtech platforme se povezuju na:

  • repozitorije koda (Git, GitLab, GitHub)
  • registar modela i MLOps alate
  • datasetove i podatkovne lake
  • logove treniranja i inferencea
  • sustave za upravljanje incidentima i rizicima
  • interna pravila, procedure i obrasce

Na temelju tih podataka alati mogu automatski detektirati gdje se u organizaciji koristi AI, kakve se arhitekture i modeli primjenjuju, u kojim poslovnim procesima te s kojim vrstama podataka. To je polazište za klasifikaciju rizika prema EU AI Actu.

AI asistenti za usklađenost: konkretne funkcije

Naprednije platforme više nisu jedan monolitni sustav, već orkestracija više specijaliziranih AI agenata. Svaki agent ima definiran zadatak i pristup određenom dijelu podataka.

Agent za klasifikaciju rizika

Ovaj agent uspoređuje opis AI sustava, njegove funkcije i kontekst uporabe s kategorizacijom iz EU AI Acta. Cilj je odgovoriti na pitanje: je li riječ o zabranjenom, visokorizičnom, ograničenom ili minimalno rizičnom AI sustavu?

Na primjer, ako se otkrije model koji se koristi za automatsko filtriranje životopisa u postupku zapošljavanja, agent će ga označiti kao potencijalno visokorizičan sustav koji utječe na pristup zapošljavanju. Zatim generira popis obveznih kontrola: upravljanje kvalitetom podataka, objašnjivost, ljudski nadzor, testiranje robusnosti, evidencije i sl.

Agent za dokumentaciju i politike

Drugi agent fokusira se na pripremu dokumentacije. Na temelju tehničkih podataka o modelu i poslovnoj upotrebi generira inicijalne verzije:

  • procjena rizika i utjecaja na temeljna prava
  • tehničke dokumentacije sustava
  • internih politika za razvoj i uporabu AI-a
  • obrazaca za informiranje korisnika i pristanak

Dokumenti nisu konačni – služe kao nacrti koje pravnici, stručnjaci za usklađenost i tehnički timovi dorađuju. No, značajno skraćuju vrijeme potrebno za početnu izradu i osiguravaju da se ne zaborave ključni elementi koje propis zahtijeva.

Agent za simulaciju učinaka regulative

Treći tip agenta koristi se za „što ako” analize. Kada se pojavi nova smjernica ili izmjena zakona, agent simulira kako će to utjecati na postojeći portfelj AI sustava u organizaciji.

Primjerice, ako EU dodatno pooštri pravila za biometrijsku identifikaciju u javnim prostorima, agent može označiti sve projekte koji koriste računalni vid za nadzor, procijeniti razinu rizika i predložiti potrebne izmjene: dodatne kontrole, ograničenje funkcionalnosti ili čak gašenje određenih rješenja.

Agent za izvještavanje i audit

Četvrti agent pomaže u komunikaciji s nadzornim tijelima i internim revizorima. Na temelju prikupljenih podataka i već generirane dokumentacije priprema:

  • standardizirana izvješća za regulatorna tijela
  • sažetke za upravu i odbore
  • materijale za interne i eksterne audite

Takvi izvještaji uključuju pregled svih AI sustava, status usklađenosti, otvorene rizike i planirane mjere. Ključna prednost je konzistentnost – isti izvor podataka koristi se za različite oblike izvještavanja, čime se smanjuje rizik od kontradiktornih informacija.

„GitHub za regulativu”: verzioniranje pravila

Jedna od zanimljivih inovacija u ovom području je pristup regulativi kao kodu. Umjesto statičnih PDF-ova i tablica, pravila se modeliraju kao strukturirani objekti koji imaju verzije, komentare i „commitove”.

Regtech platforme omogućuju da se:

  • svaka izmjena zakona ili smjernice zabilježi kao nova verzija
  • vidi koje se interne politike i procesi oslanjaju na određeni članak
  • testiraju „branch” scenariji – npr. kako bi izgledala usklađenost ako se usvoji stroža varijanta pravila
  • bilježe odluke i tumačenja pravnih timova uz konkretne odredbe

Za organizacije s više tržišta i regulatora, ovakav pristup je ključan. Omogućuje da se razlike između nacionalnih implementacija AI Acta i sektorskih pravila transparentno prikažu i da se izbjegne dupliciranje rada.

Prednosti i ograničenja automatizirane usklađenosti

Zašto tvrtke uopće ulažu u ove sustave? Razlozi su uglavnom vrlo pragmatični.

Operativne prednosti

  • Smanjenje troškova usklađenosti – manje ručnog rada, manje vanjskih konzultanata za rutinske zadatke.
  • Brža reakcija na promjene – automatsko praćenje novih pravila i brza procjena utjecaja.
  • Bolja vidljivost AI portfelja – centralizirani registar modela i rizika.
  • Standardizacija dokumentacije – ujednačeni obrasci i strukture dokumenata kroz cijelu organizaciju.

Nova pitanja odgovornosti i povjerenja

No, kako AI preuzima dio posla tumačenja i provedbe zakona, otvaraju se i nova pravna i etička pitanja:

  • Tko je odgovoran za pogrešku? Ako AI alat krivo klasificira sustav kao niskorizičan, a nadzorno tijelo ga kasnije proglasi visokorizičnim, odgovornost formalno ostaje na organizaciji koja sustav koristi. No, postavlja se pitanje odgovornosti dobavljača regtech rješenja i ugovornih odnosa.
  • Kako auditirati sam regtech alat? Ako platforma obrađuje osjetljive podatke o modelima, korisnicima i incidentima, ona sama može potpasti pod režim visokorizičnih AI sustava. Tada mora zadovoljiti iste standarde transparentnosti, sigurnosti i nadzora koje pomaže implementirati drugima.
  • Rizik „crne kutije” – ako su modeli koji tumače regulativu netransparentni, teško je objasniti zašto je alat predložio određenu klasifikaciju ili mjeru. To je problematično u okruženju gdje je dokazivost odluka ključna.

Zbog toga stručnjaci za usklađenost sve češće traže da regtech alati imaju ugrađenu objašnjivost: jasan prikaz na koje se članke zakona poziva određena preporuka, koje je podatke sustav uzeo u obzir i gdje su granice automatizacije.

Prema „meta-regulaciji”: kad AI sudjeluje u pisanju zakona

Trenutni fokus je na tome da AI pomaže provoditi postojeća pravila. No, logičan sljedeći korak je korištenje istih tehnologija u samom procesu izrade regulative – svojevrsna „meta-regulacija”.

Već danas je tehnički moguće koristiti modele za:

  • simulaciju učinaka različitih verzija zakonskih prijedloga na gospodarstvo i društvo
  • analizu povijesnih podataka o incidentima i sudskoj praksi kako bi se identificirale rupe u regulativi
  • generiranje alternativnih formulacija članaka koje bolje adresiraju identificirane rizike
  • usklađivanje terminologije između različitih propisa i jezika

EU zasad jasno naglašava da ljudi moraju ostati krajnji donositelji odluka, osobito kada se radi o zaštiti temeljnih prava i određivanju razine rizika. No, kako alati postaju sofisticiraniji, realno je očekivati da će značajan dio tehničkog posla u pozadini zakonodavnog procesa obavljati upravo AI sustavi.

To otvara novu razinu pitanja povjerenja: ako se pravila oblikuju uz pomoć istih tehnologija koje ta pravila reguliraju, kako osigurati neovisnost, transparentnost i demokratski nadzor nad tim procesom?

Nevidljivi sloj povjerenja u AI ekosustavu

Regtech alati za EU AI Act možda nisu vidljivi krajnjim korisnicima, ali postaju ključna infrastruktura digitalnog gospodarstva. Oni čine „nevidljivi sloj” koji određuje kako se AI razvija, testira i primjenjuje u praksi.

Za organizacije koje ozbiljno računaju na umjetnu inteligenciju, pitanje više nije hoće li koristiti ovakve alate, već kako ih integrirati u postojeće procese upravljanja rizicima, IT sigurnosti i korporativnog upravljanja. Ulog nije samo izbjegavanje kazni, nego i izgradnja povjerenja kod korisnika, partnera i regulatora.

U sljedećih nekoliko godina vidjet ćemo natjecanje između različitih pristupa: od vrlo automatiziranih, AI-centričnih platformi do konzervativnijih rješenja koja naglašavaju ljudski nadzor i ograničenu uporabu modela. Ishod tog natjecanja uvelike će odrediti kako će izgledati svakodnevica rada s AI sustavima u Europi – i koliko ćemo vjerovati softveru koji brine da drugi softver poštuje pravila.

Povezane objave

Natrag na vrh