Hírlevél – 2025. április

Az Európai Bizottság 2022. június 30-án egy 2030-ig megvalósítandó, az innovációt ösztönző, ugyanakkor világos szabályozók kidolgozását is megvalósító Digitális Stratégiát hozott nyilvánosságra. Ez egy olyan vízió, amely még a pandémiát követő digitális kihívásokra reagált. Ennek eddigi legfontosabb elemeként 2024. augusztus 1-jén hatályba lépett az EU mesterséges intelligenciájáról szóló rendelete (AI Act/MI rendelet[1]) mely az első, átfogó jogi keretrendszer a mesterséges intelligencia rendszerek szabályozására a világon. Az MI rendelet egyes rendelkezései már 2025. február 1-jétől alkalmazandóak, a rendelkezések többsége csak 2026. augusztus 2-ától lesz alkalmazandó. Kétségtelen, hogy továbbra is az MI rendelet képezi a szabályozás gerincét, de a technológia gyors fejlődése és az időközbeni geopolitikai kihívások, valamint az amerikai gazdaságpolitikai változások tovább ösztönzik az Uniót, hogy e témában finomhangolja a stratégiáját és szabályozási munkaprogramját is. Ennek mentén látótávolságba kerültek az MI rendeletet kiegészítő vagy amellett újabb témákat érintő további szabályozási elemek is.

1. Az MI rendelet kockázatalapú megközelítése

Ahogy említettük, az MI rendelet az első, átfogó jogi keretrendszer a mesterséges intelligencia rendszerek szabályozására a világon. Jelentősége abban áll, hogy elsőként, harmonizált módon szabályozza többek között az MI-rendszerek Unión belüli forgalomba hozatalát, üzembe helyezését és használatát, bizonyos MI-gyakorlatokra vonatkozó tilalmakat, nagy kockázatú MI rendszerekre vonatkozó különös követelményeket és az ilyen rendszerek üzemeltetőire vonatkozó kötelezettségeket. A rendelet általános célja, hogy egyensúlyt teremtsen a technológiai fejlődés előmozdítása és a biztonságos alkalmazás feltételeinek garantálása között. A rendelet egyik legfontosabb eredménye mindemellett, hogy egységes, technológia-semleges definíciót ad a mesterséges intelligencia fogalmára.

Az MI rendelet definíciója szerint az „MI-rendszer” egy olyan gépi alapú rendszer, amelyet különböző autonómiaszinteken történő működésre terveztek, és amely a bevezetését követően alkalmazkodóképességet tanúsíthat, valamint a kapott bemenetből – explicit vagy implicit célok érdekében – kikövetkezteti, miként generáljon olyan kimeneteket, mint például előrejelzés, tartalom, ajánlás vagy döntés, amelyek befolyásolhatják a fizikai vagy a virtuális környezetet.[2]

Az új szabályozás értelmében a mesterséges intelligencia (MI) rendszerek kockázatuk mértékétől függően négy csoportba sorolhatók, melyekre különböző – a nagyobb kockázattal egyenes arányban egyre szigorúbb - szabályok érvényesek. Az MI rendszerek készítőinek, használóinak 2025. február 1-jéig kellett felmérni, hogy az MI rendelet hatálya alá esnek-e és rendszereik mely kategóriába esnek.

Elfogadhatatlan kockázatnak (tiltott MI-nek) minősül minden olyan rendszer, amely működése során olyan szubliminális (nem tudatos észlelést) vagy megtévesztő technikát (pl. hangok, videók) alkalmaz, amely képes manipulálni, a döntéshozatali képesség csökkentése révén kárt okozni más személynek vagy csoportnak (pl. politikai véleménynyilvánítás, vásárlási szokások terén) vagy kihasznál (pl. kor, betegség, szociális vagy gazdasági helyzeténél fogva) sebezhető vagy kiszolgáltatott személyeket, csoportokat. Ugyanebbe a kategóriába tartoznak azok a technológiák, melyek célja a társadalom egy részének vagy egészének osztályozása, értékelése (social scoring) vagy pl. bűncselekmény elkövetésének előrejelzésére szolgáló, biometriai azonosítás alapján automatikusan kategorizáló vagy munkahelyi, oktatásban használt érzelemfelismerő rendszerek. Az ilyen feladatok elvégzésére fejlesztett MI rendszerek EU-n belüli használata 2025. február 1. napját követően tiltott.

A nagy kockázatú MI technológiák meghatározása volt a legvitatottabb terület, amely nem is tekinthető teljes mértékben lezártnak. Ennek a fogalmi körnek a bővítésére ugyanis a Bizottság fenntartotta a jogát arra, hogy a jövőben a rendelet III. mellékletének módosításával további eseteket definiáljon. Jelenleg ebbe a körbe tartozik minden olyan rendszer, amely negatívan befolyásolhatja az emberek egészségét, biztonságát, alapvető jogait. Nagy kockázatú, ha az MI rendszert valamely termék biztonsági részeként használják, a távoli biometrikus azonosító rendszerek (amelyek nem automatikusan hoznak döntést), nem tiltott érzelemfelismerő rendszerek, MI használata oktatásban és foglalkoztatás során magán- és közszolgáltatásokhoz való hozzáférés és igénybe vétel elbírálásában (pl. biztosítások kockázatértékelése, triázs), bűnüldözésben (pl. bizonyíték megbízhatóságának értékelése), menekültügy, határigazgatás, igazságszolgáltatás, demokratikus folyamatok terén vagy kritikus infrastruktúrákban. Az MI rendelet ehhez a kategóriához rendeli a legrészletesebb szabályrendszert.

A mérsékelt kockázat, bár ilyen definíciót az MI rendelet explicit nem alkalmaz, azonban az 50. cikkben nevesített „bizonyos MI-rendszerek” osztályába jellemzően olyan MI-rendszerek tartoznak, melyeknek kevésbé szigorú, elsősorban átláthatósági követelményeknek kell megfelelniük. A leglényegesebb elvárás ezek alkalmazóival szemben, hogy az ilyen rendszereknek minden esetben egyértelműen jelezniük kell a felhasználók felé, az első interakció vagy kitettség alkalmával, jól megkülönböztethető módon, hogy egy MI-rendszeren alapuló szolgáltatást vesznek igénybe. Specifikusan: a szintetikus hang-, kép-, video- vagy szöveges tartalmat létrehozó MI-rendszerek által generált kimeneteken egyértelműen jelölni kell ezek jellegét, különösen, az eredetinek vagy valóságosnak tűnő („deepfake”) kép-, hang- vagy video tartalmak esetén, vagy az érzelemfelismerő rendszer vagy a biometrikus kategorizálási rendszer alkalmazóinak. Továbbá ezen rendszerektől is elvárt, hogy hatékonyak, interoperábilisak, robusztusak és megbízhatók legyenek.

Alacsony kockázatú vagy kockázat nélküli modellek kategóriája olyan MI rendszereket tartalmaz, amelyek nem estek bele a korábban ismertetett kategóriákba. Ilyenek lehetnek például a spam szűrők. Azonban, az ezen osztályba eső rendszerek ellenőrzése is ajánlott.

Az MI rendelet a legrészletesebben a nagy kockázatú MI-rendszerekkel foglalkozik. Az ilyen MI rendszerek fejlesztése során megfelelő adatkormányzási eljárásokat szükséges alkalmazni, így a rendszert olyan tanító-, validálási és tesztadatkészletek alapján kell fejleszteni, amelyek megfelelnek egy részletes minőségi kritériumrendszernek (pl. a megfelelő adatgyűjtés és tisztítás, torzítások felderítése) továbbá naprakész műszaki dokumentációs követelményeknek és naplózási elvárásoknak. Ezen kívül az átláthatóság biztosítása érdekében, használati utasítást kell hozzá készíteni, hogy az alkalmazók értelmezhessék a rendszer kimenetét, és megfelelően használhassák azt. Az egyik legfontosabb elvárás a nagy kockázatú MI-rendszerekkel szemben, hogy azokat úgy kell megtervezni és fejleszteni – többek között megfelelő ember–gép interfész eszközökkel –, hogy a használatuk időtartama alatt a természetes személyek a rendszert hatékonyan felügyelhessék. Az emberi felügyelet célja az egészséget, a biztonságot vagy az alapvető jogokat érintő kockázatok megelőzése vagy minimalizálása. Ahogy bármely informatikai megoldástól, ezen rendszerektől is elvárás a reziliencia biztosítása is, vagyis a pontosság, stabilitás és kiberbiztonsági szempontoknak való megfelelés, védettség.

Az MI rendelet kifejti az ilyen nagy kockázatú MI-rendszerek alkalmazóinak és szolgáltatóinak kapcsolódó kötelezettségeit is. Közülük a legfontosabb a minőségirányítási rendszer bevezetésével kapcsolatos elvárás írásbeli szabályzatok, eljárások és utasítások formájában. Ezen belül biztosítani szükséges, hogy a nagy kockázatú MI-rendszert a forgalomba hozatala vagy üzembe helyezése előtt alávessék egy megfelelőségértékelési eljárásnak, készüljön megfelelő EU-megfelelőségi nyilatkozat és CE-jelölés, valamint a regisztrációs kötelezettségnek is eleget kell tenni. Végül ezen MI-rendszerekhez nyomonkövetési tervet kell készíteni, melynek tartalmaznia kell a létrehozott rendszer teljes élettartama során mutatott teljesítményére vonatkozó releváns adatokat.

2. MI rendelet szerinti mérföldkövek: felmérés, bejelentés

Az MI-t alkalmazó vagy szolgáltató szervezeteknek 2025. február 1-jéig fel kellett mérniük, hogy az általuk létrehozott vagy alkalmazott MI rendszer az MI rendelet hatálya alá esik-e, és amennyiben igen, tiltott rendszernek (lényegében az alapvető emberi jogokat sértő rendszerek) minősül-e. Utóbbi esetében annak alkalmazását, értékesítését e határidőig meg kell szüntetni. Szintén eddig a határidőig a szervezet munkavállalói számára az MI ismeretek terén képzéseket szükséges nyújtani a megfelelő „MI jártasság” biztosítása érdekében.

2025. augusztus 1-jéig van idő a „General Purpose AI” (GPAI) rendszerek azonosítására és kockázat-értékelésére, vagyis annak megállapítására, hogy rendszerszintű kockázatot jelent-e. Amennyiben igen, a rendszert e határidőig be kell jelenteni az Európai Bizottság számára, egyben számos feltételnek való megfelelést kell biztosítani.

2026. augusztus 1-jéig a nagy kockázatú MI rendszerek alkalmazóinak, szolgáltatóinak, forgalmazóinak és importőreinek is meg kell felelniük a rendeletnek.

Amennyiben az MI rendszert bizonyos termékek biztonsági alkotóelemeként kívánják használni, vagy az önmagában ilyen termék, és egyben nagy kockázatúnak minősül (pl. játékok, liftek, légi, vízi járművek, gépjárművek, orvostechnikai eszközök stb.), úgy a megfelelést a termék gyártójának kell biztosítania.

3. További szabályozási törekvések

Rendszer-szintű jelentőségükre tekintettel a Bizottság kezdeményezésére elindult a GPAI modellekre vonatkozó Gyakorlati Kódex[3] kialakítása (jelenleg a harmadik tervezet fázisában van), amely a GPAI modellekkel kapcsolatos átláthatóságot, copyright szabályokat, és kockázatkezelési kérdéseket érint majd. Bár ez a szabályozás csak az MI rendelet 51. cikke szerinti, legfejlettebb AI modellek fejlesztőire vonatkozik, de jelentősége nagy, mivel ezen modellek működésében beálló zavarok rendszerkockázatot hordozhatnak. A szabályozás célja e kockázatok mitigálására, modell-értékelésre vonatkozó és incidens-bejelentési valamint kiberbiztonsági előírások bevezetése. A Gyakorlati Kódex végső verzióját 2025. májusában kívánja véglegesíteni az azt jelenleg kidolgozó AI Board (MI Testület), majd a Bizottság jogszabályként is szentesítené.

Emellett 2025. április 9-én az Európai Bizottság az „AI Continent” kezdeményezés részeként megtette az első lépéseket egy lehetséges új jogszabály megalkotása felé, amely az EU-ban már működő és a jövőben működtetni tervezett felhő- és AI infrastruktúrák megnövekedett kapacitás-igényére kíván reflektálni. A szabályozási koncepció (amelynek formája is még bizonytalan) még csak nyilvános konzultációs fázisban van 2025. június 4-éig[4], amelytől a Bizottság azt várja, hogy az érdekeltek a kapcsolódó technológiai problémákhoz, azok kezelésének módjához véleményeket, szempontokat és ezen meglátások alátámasztásául szolgáló bizonyítékokat szolgáltatnak.

A kezdeményezés hátterében nem titkoltan az áll, hogy a tanítás, finomhangolás és az MI modellek futtatása masszív számítási kapacitást igényelnek. Ezen belül a tanításhoz nagy, centralizált számítási kapacitásra van szükség, míg a kisebb finomhangolási műveletekhez és a kész modell működtetéshez inkább a decentralizált felhőszolgáltatások és edge computing (peremhálózat) megoldások kulcsfontosságúak. Az adatközpontok fontos szerepet töltenek be az ehhez szükséges eszközök és berendezések elhelyezésében és működtetésében és az EU jelenleg ezen elérhető adatközpont-kapacitások terén az USÁ-hoz és Kínához képest lemaradásban van. A Bizottság célja:

  • a kutatás és innováció élénkítése annak érdekében, hogy a felhő- és AI-fejlesztéshez szükséges számítógépes infrastruktúrák és adatközpontok erőforrásfelhasználás szempontjából gazdaságosabbak, hatékonyabbak (vagyis fenntarthatóbbak) lehessenek
  • tekintettel az ilyen infrastruktúrák nagy erőforrás-igényére, megkönnyítse a magánbefektetéseket a fenntartható felhő- és AI-kapacitások kiépítésébe annak érdekében, hogy megháromszorozza az EU adatfeldolgozó kapacitását mintegy 5-7 éven belül
  • intézkedéseket határozzon meg annak érdekében, hogy megnövelje az EU-ban üzemelő felhő-szolgáltatók biztonságos feldolgozási kapacitásait (bizonyos kiemelten kritikus felhasználási esetekben az EU-ban működő felhőszolgáltatók legyenek képesek azok üzemeltetésére).

Az is világosan látszik, hogy a Bizottságnak is folyamatosan alkalmazkodnia kell szabályozási munkájában a külső gazdasági és politikai körülményekhez, amely alapján néhány esetben szükségessé válhat az újra tervezés. Ez történt a már 2022. szeptemberében javaslatként nyilvánosságra hozott Mesterséges intelligencia felelősségi direktívával[5] is, amely az (akkor még jövőbeli) MI rendelet kiegészítését célozta volna a felelősségi kérdések terén. Célul tűzte ki a jogbiztonság erősítését, a fogyasztói bizalom erősítését az MI rendszerek felé, a fogyasztói igények érvényesítésének elősegítését az MI-rendszert alkalmazó termékek és szolgáltatások terén, amelyben a jogalkotó az MI rendszerek által vagy használatukkal okozott károkra a szerződésen kívüli károkozás polgári jogi szabályai alapján tervezte volna szabályozni. Hosszú időn át hiába várt elfogadásra, végül 2025. február 11-én a Bizottság által kiadott „2025 Munkatervben” annak visszavonását helyezte kilátásba, mivel szükségesnek látja újraértékelni, hogy esetleg más javaslat vagy más megközelítés lenne-e célravezető ebben a kiemelten fontos témában.

Látható, hogy a MI szabályozásának folyamata még csak elkezdődött és a következő évekre is, mind a jogalkotói, mind a jogalkalmazói oldalon rengeteg tennivalót tartogat, azzal a nehezítéssel, hogy akár az MI technológia, akár a gazdasági-geopolitikai környezet a szokásosnál is gyorsabban mozgó célponttá teszi.

A hírlevelet készítette: Glózer-Say Viktória, Barna Evelin, Nagy Bálint

[1] Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act) – továbbiakban MI Rendelet
[2] AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2024/1689 RENDELETE (továbbiakban MI Rendelet) 3. cikk 1. pont
[3] Third Draft of the General-Purpose AI Code of Practice published, written by independent experts | Shaping Europe’s digital future
[4] Have Your Say: Future cloud and AI policies in the EU | Shaping Europe’s digital future
[5] EUR-Lex - 52022PC0496 - EN - EUR-Lex

Korábbi tartalmaink

Iratkozzon fel hírlevelünkre!
Iratkozzon fel hírlevelünkre!
Financial Risk & Regulation Hírlevél

Értesüljön a legaktuálisabb pénzügyi szabályozói kérdésekről és változásokról!

Iratkozzon fel hírlevelünkre! Opens in a new window

Kontakt

Ágnes Rakó blog posts
Rakó Ágnes
Partner, a tanácsadási üzletág társvezetője
KPMG in Hungary
Profil |
Péter Szalai blog posts
Szalai Péter
Associate Partner
KPMG in Hungary
Profil |
Wieder Gergő blog posts
Wieder Gergő
Igazgató
KPMG in Hungary
Profil |
Szabolcs Gergely blog posts
Szabolcs Gergely
Igazgató
KPMG in Hungary
Profil |
Glózer-Say Viktória blog posts
Glózer-Say Viktória
Menedzser
KPMG in Hungary
Profil |