Articolul 15 din Regulamentul (UE) 2024/1689 — Acuratețe, robustețe și securitate cibernetică. Text oficial, interpretare practică, obligații esențiale și implicații de conformitate.
Rezumatul Textului Oficial
Articolul 15 din Regulamentul (UE) 2024/1689 stabilește cerințe tehnice privind acuratețea, robustețea și securitatea cibernetică care trebuie îndeplinite de sistemele de IA cu risc ridicat pe parcursul întregului lor ciclu de viață. Articolul este structurat în jurul a trei obligații interdependente.
În primul rând, sistemele de IA cu risc ridicat trebuie să fie proiectate și dezvoltate pentru a atinge un nivel adecvat de acuratețe pentru scopul lor prevăzut. Furnizorii sunt obligați să declare valorile relevante de acuratețe în documentația tehnică însoțitoare, permițând verificarea în aval și controlul de reglementare.
În al doilea rând, sistemele trebuie să demonstreze robustețe — capacitatea de a gestiona erori, defecțiuni și inconsistențe provenite din interiorul sistemului însuși, din mediul de operare sau din manipularea adversarială deliberată. Regulamentul menționează în mod expres necesitatea de a aborda riscul buclelor de feedback neintenționate, în special atunci când un sistem de IA cu risc ridicat influențează propriile date de antrenament sau rezultate.
În al treilea rând, sistemele trebuie să incorporeze măsuri de securitate cibernetică proporționale cu riscurile pe care le prezintă. Aceste măsuri trebuie să protejeze împotriva încercărilor terților de a exploata vulnerabilitățile sistemului care ar putea face sistemul să se comporte în moduri dăunătoare, părtinite sau altfel neconforme. Regulamentul recunoaște că reziliența în materie de securitate cibernetică nu este o condiție statică, ci trebuie menținută pe măsură ce peisajul amenințărilor evoluează.
Împreună, Articolul 15 operaționalizează principiul mai larg — articulat în Considerentele 51 și 52 — că fiabilitatea tehnică este o condiție prealabilă pentru implementarea IA în domenii cu consecințe semnificative.
Ce Înseamnă Aceasta în Practică
Articolul 15 creează obligații concrete de inginerie și guvernanță pentru orice organizație care plasează un sistem de IA cu risc ridicat pe piața UE sau îl pune în funcțiune.
Pentru furnizori, implicația imediată este că acuratețea nu este doar o afirmație comercială, ci un angajament de reglementare care trebuie documentat, măsurat și menținut. Un producător de dispozitive medicale care integrează un instrument de diagnostic IA trebuie să specifice dacă acuratețea este măsurată ca sensibilitate, specificitate, AUC sau altă valoare — iar acea alegere trebuie să fie aliniată cu scopul prevăzut al sistemului și profilul de risc. Declarațiile de acuratețe vagi sau aspiraționale nu vor satisface cerința.
Testarea robustețe trebuie să meargă dincolo de asigurarea calității standard. Furnizorii ar trebui să efectueze teste de stres, teste în afara distribuției și — acolo unde sistemul este expus la date de intrare controlate de utilizator — red-teaming adversarial. Acolo unde un sistem incorporează bucle de feedback (de exemplu, un algoritm de angajare care învață din deciziile recrutorilor), furnizorii trebuie să mapeze și să atenueze riscul că rezultatele părtinite corup ciclurile viitoare de antrenament.
Obligațiile de securitate cibernetică în temeiul Articolului 15 trebuie citite în coroborare cu postura mai largă de securitate a informațiilor a furnizorului. Sistemele de IA cu risc ridicat care prelucrează date cu caracter personal sau se conectează la infrastructuri critice se confruntă cu obligații cumulate atât în temeiul acestui Regulament, cât și al Directivei NIS 2. Pașii practici includ controale de acces la model, sanitizarea datelor de intrare, detectarea anomaliilor la cererile de inferență și proceduri de divulgare a vulnerabilităților.
Pentru operatori, conformitatea cu Articolul 15 depinde în mare măsură de păstrarea condițiilor de operare validate descrise de furnizor. Implementarea unui sistem pe distribuții de date substanțial diferite de cele utilizate în validare — de exemplu, aplicarea unui model de scoring al creditului antrenat pe o piață națională la o altă jurisdicție — poate submina proprietățile de acuratețe și robustețe pe baza cărora a fost acordată marcajul CE.
Obligații Esențiale
- Declararea valorilor de acuratețe: Furnizorii trebuie să specifice valorile relevante de acuratețe pentru sistemul de IA cu risc ridicat și să le includă în documentația tehnică impusă de Articolul 11 și Anexa IV. Valorile trebuie să fie adecvate scopului prevăzut al sistemului.
- Atingerea și menținerea acurateței adecvate: Sistemul trebuie să fie proiectat și dezvoltat pentru a atinge nivelul de acuratețe declarat; acuratețea nu trebuie tratată ca un rezultat de validare unic, ci trebuie monitorizată post-implementare prin sistemul de monitorizare post-comercializare impus de Articolul 72.
- Asigurarea robustețe împotriva erorilor și inconsistențelor: Trebuie să fie în vigoare măsuri tehnice și organizatorice astfel încât sistemul să poată gestiona erori, defecțiuni și inconsistențe — indiferent dacă provin din defecțiuni interne, variabilitate de mediu sau date de intrare adversariale deliberate — fără a produce rezultate nesigure sau neconforme.
- Protecția împotriva atacurilor adversariale: Acolo unde sistemul este expus la date de intrare de la terți, furnizorii trebuie să implementeze măsuri pentru a detecta și a rezista manipulării adversariale, inclusiv injectarea de prompturi, inversarea modelului sau atacurile de otrăvire a datelor, acolo unde este aplicabil.
- Abordarea riscurilor buclelor de feedback: Acolo unde rezultatele unui sistem ar putea influența viitoarele date de antrenament sau comportamentul modelului, furnizorii trebuie să identifice acest risc în documentația tehnică și să implementeze măsuri de protecție pentru a preveni degradarea performanței sau amplificarea părtinirii în timp.
- Implementarea de măsuri de securitate cibernetică proporționale: Soluțiile tehnice — inclusiv controalele de acces, monitorizarea și procedurile de răspuns la incidente — trebuie să fie proporționale cu riscurile de securitate cibernetică prezentate de sistem, ținând cont de scopul prevăzut, contextul de implementare și expunerea la rețele externe sau date de intrare controlate de utilizator.
Relația cu Alte Articole
Articolul 15 nu poate fi citit în mod izolat. Se află în centrul cerințelor tehnice pentru sistemele de IA cu risc ridicat și se intersectează cu mai multe alte dispoziții ale Regulamentului.
Articolul 9 (sistemul de gestionare a riscurilor) oferă cadrul general în care riscurile de acuratețe, robustețe și securitate cibernetică trebuie identificate, evaluate și atenuate. Sistemul de gestionare a riscurilor este vehiculul procedural pentru îndeplinirea multor cerințe substanțiale pe care le impune Articolul 15.
Articolul 10 (datele și guvernanța datelor) este fundamental pentru acuratețe: un sistem antrenat pe date de calitate scăzută, nereprezentative sau părtinite nu poate oferi garanții de acuratețe semnificative. Obligațiile privind calitatea datelor permit direct conformitatea cu Articolul 15.
Articolul 11 și Anexa IV specifică ce trebuie să apară în documentația tehnică, inclusiv valorile de acuratețe impuse de Articolul 15(1).
Articolul 17 (sistemul de management al calității) impune furnizorilor să integreze conformitatea cu Articolul 15 în procesele lor organizaționale, inclusiv controalele de proiectare, protocoalele de testare și procedurile de gestionare a modificărilor.
Articolul 72 (monitorizarea post-comercializare) creează obligația continuă de a verifica că nivelurile de acuratețe și robustețe sunt menținute după implementare, închizând bucla de ciclu de viață pe care Articolul 15 o deschide în etapa de proiectare.
Pentru sistemele care sunt și dispozitive medicale sau componente de siguranță, Articolul 15 trebuie citit alături de legislația aplicabilă de armonizare a Uniunii enumerate în Anexa I.
Calendarul de Conformitate
Articolul 15 urmează calendarul de aplicare în etape stabilit de Articolul 113 din Regulamentul (UE) 2024/1689, care a intrat în vigoare la 1 august 2024.
| Data | Reper |
|---|---|
| 1 august 2024 | Regulamentul intră în vigoare. Articolul 15 este adoptat din punct de vedere juridic, dar nu este încă aplicabil. |
| 2 februarie 2025 | Practicile interzise de IA (Titlul II, Articolul 5) devin aplicabile. Articolul 15 nu se aplică încă. |
| 2 august 2025 | Obligațiile privind modelele GPAI (Titlul VIII) devin aplicabile. Articolul 15 rămâne neaplicabil. |
| 2 august 2026 | Articolul 15 devine aplicabil sistemelor de IA cu risc ridicat enumerate în Anexa III (ex. identificare biometrică, gestionarea infrastructurilor critice, instrumente de angajare, sisteme de educație, aplicații de aplicare a legii). |
| 2 august 2027 | Articolul 15 devine aplicabil sistemelor de IA cu risc ridicat reglementate de legislația de armonizare a Uniunii din Anexa I (ex. dispozitive medicale, utilaje, componente de aviație civilă). |
Furnizorii care dezvoltă sau plasează pe piață sisteme de IA cu risc ridicat înainte de data aplicabilă trebuie totuși să pregătească în avans documentația, protocoalele de testare și arhitecturile de securitate cibernetică — evaluările de pregătire de reglementare și evaluările de conformitate în temeiul Articolelor 43–47 necesită un timp substanțial de pregătire. Restanțele organismelor notificate și complexitatea testelor adversariale înseamnă că organizațiile care vizează o lansare în 2026 ar trebui să înceapă evaluările de diferențe pentru Articolul 15 cel târziu la mijlocul anului 2025.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Articolul 15 impune ca sistemele de IA cu risc ridicat să fie proiectate și dezvoltate pentru a atinge un nivel adecvat de acuratețe, robustețe și securitate cibernetică pe parcursul întregului lor ciclu de viață. Furnizorii trebuie să specifice valorile de acuratețe în documentația tehnică și să se asigure că sistemele rămân reziliente împotriva erorilor, defecțiunilor, inconsistențelor și atacurilor adversariale.
Articolul 15 obligă în primul rând furnizorii de sisteme de IA cu risc ridicat, astfel cum sunt definiți la Articolul 6 și Anexa III din Regulamentul (UE) 2024/1689. Operatorii au responsabilități secundare, în special în ceea ce privește menținerea condițiilor în care sistemul a fost validat.
Atacurile adversariale se referă la încercările deliberate ale unor terțe părți de a manipula sau înșela un sistem de IA prin furnizarea de date de intrare elaborate, concepute pentru a produce rezultate incorecte. Articolul 15 impune măsuri tehnice de robustețe — cum ar fi antrenamentul adversarial sau validarea datelor de intrare — pentru a atenua acest risc.
Nu. Articolul 15 se află în Titlul III, Capitolul 2, care se aplică exclusiv sistemelor de IA cu risc ridicat. Modelele de IA de uz general (GPAI) sunt reglementate de Titlul VIII din Regulament, în special Articolele 51–56, care prevăd obligații distincte.
Articolul 15 se aplică sistemelor de IA cu risc ridicat care intră sub incidența Anexei III începând cu 2 august 2026, iar sistemelor de IA cu risc ridicat reglementate de legislația de armonizare a Uniunii enumerate în Anexa I începând cu 2 august 2027, sub rezerva anumitor dispoziții tranzitorii.
Nivelurile de acuratețe trebuie determinate pe baza scopului prevăzut al sistemului și specificate în documentația tehnică impusă de Articolul 11 și Anexa IV. Nu există un singur reper universal; furnizorii trebuie să selecteze valori adecvate domeniului sarcinii — de exemplu, sensibilitate și specificitate pentru sistemele de diagnostic medical sau ratele de fals pozitive/negative pentru identificarea biometrică.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.