90% din organizațiile care utilizează AI sunt operatori care integrează modele terțe — OpenAI, Anthropic, Azure AI sau instrumente AI SaaS. Înțelegeți-vă obligațiile: ce trebuie să vă furnizeze furnizorul, ce trebuie să faceți dvs. și când deveniți furnizor dvs.
Realitatea AI Terțe: Cele Mai Multe Organizații Sunt Operatori
Marea majoritate a organizațiilor europene care utilizează AI nu sunt nici OpenAI, nici Mistral, nici un laborator de cercetare. Acestea integrează modele existente — prin API, o platformă SaaS, o componentă Azure AI sau un plugin al unui instrument de afaceri. Salesforce Einstein, Copilot pentru Microsoft 365, un chatbot HR alimentat de un model de limbaj de mari dimensiuni, o soluție de scorare a creditului achiziționată de la un furnizor specialist: în toate aceste cazuri, sunteți operator al unui sistem AI construit de altcineva.
Această poziție este ocupată de marea majoritate a organizațiilor afectate de Regulamentul UE privind IA. Aceasta poartă obligații precise — diferite de cele ale furnizorului, dar nu neglijabile. Poate evolua de asemenea: dacă modificați sistemul sau îl revindeți, statutul dvs. juridic se schimbă.
Înțelegerea poziției dvs. în lanțul de valoare AI este primul pas în orice efort de conformitate.
Obligațiile Dvs. ca Operator
Obligațiile operatorilor diferă în funcție de nivelul de risc al sistemului AI pe care îl utilizați.
Pentru Sistemele AI de Risc Ridicat (Anexa III)
Dacă implementați un sistem AI terț care se califică drept risc ridicat (evaluarea solvabilității, identificare biometrică, selecție pentru recrutare, gestionarea infrastructurii critice etc.), obligațiile dvs. conform Art. 26 sunt:
1. Urmați instrucțiunile de utilizare Utilizați sistemul numai pentru scopul său intenționat și în conformitate cu instrucțiunile pe care furnizorul este obligat să le furnizeze. Utilizarea unui sistem AI de risc ridicat în afara domeniului său validat este un eșec de conformitate chiar dacă sunteți numai operator.
2. Atribuiți supravegherea umană Desemnați o persoană fizică cu competența, autoritatea și resursele pentru a efectua o supraveghere umană semnificativă asupra rezultatelor sistemului AI. Această persoană trebuie să fie capabilă să înțeleagă ce face sistemul, să detecteze anomalii și să anuleze sau să oprească sistemul atunci când este necesar.
3. Asigurați calitatea datelor de intrare Asigurați că datele pe care le introduceți în sistem sunt relevante, suficient de reprezentative și adecvate pentru scopul intenționat în contextul dvs. specific de implementare. Un sistem validat pe o populație poate funcționa diferit pe a dvs. — acesta este riscul dvs. de gestionat.
4. Monitorizați operarea și detectați anomaliile Monitorizați activ operarea sistemului pentru anomalii, ieșiri neașteptate sau degradarea performanței. Aceasta nu este responsabilitatea furnizorului în implementare — este a dvs.
5. Păstrați jurnalele Activați și păstrați jurnalele automate produse de sistem pentru perioada necesară conform Regulamentului (și orice reglementare sectorială care poate fi aplicabilă). Nu dezactivați jurnalizarea pentru a economisi spațiu de stocare.
6. Raportați incidentele grave Dacă luați la cunoștință un incident grav sau defecțiune — unul care a cauzat sau ar putea cauza deces, vătămare gravă, încălcări ale drepturilor fundamentale sau daune semnificative proprietății — notificați furnizorul fără întârzieri nejustificate. În unele cazuri (în special acolo unde implementarea implică servicii orientate spre public sau activități adiacente forțelor de ordine), poate fi necesară și raportarea directă la autoritatea națională de supraveghere a pieței.
7. Evaluarea impactului asupra drepturilor fundamentale (organisme publice) Dacă sunteți un organism public sau o entitate privată care implementează sisteme AI în domenii susceptibile să afecteze drepturile fundamentale (sănătate, servicii sociale, educație, aplicarea legii), trebuie să efectuați o Evaluare a Impactului asupra Drepturilor Fundamentale înainte de implementare (Art. 27).
Pentru Sistemele AI Numai cu Transparență (Art. 50)
Dacă implementați un chatbot, un sistem de conținut generat de AI sau un instrument de recunoaștere a emoțiilor care nu este de risc ridicat, dar intră sub incidența obligațiilor de transparență Art. 50, trebuie:
- Să informați utilizatorii că interacționează cu un sistem AI (Art. 50(1))
- Să asigurați că conținutul generat de AI este marcat tehnic (Art. 50(4)) acolo unde este aplicabil
- Să informați persoanele expuse când se utilizează recunoașterea emoțiilor sau categorizarea biometrică (Art. 50(2)–(3))
Aceste obligații se aplică chiar și atunci când utilizați un API sau instrument SaaS terț. Furnizorul este responsabil pentru construirea capacității tehnice; dvs. sunteți responsabil pentru activarea acesteia și asigurarea că dezvăluirea ajunge efectiv la utilizatori.
Pentru Sistemele AI cu Risc Minim
Nu există obligații juridice specifice conform Regulamentului privind IA. Se aplică coduri de conduită voluntare. Buna practică de guvernanță recomandă totuși documentarea de bază a sistemelor AI în uz și revizuirea periodică a performanței lor.
Ce să Solicitați de la Furnizorul Dvs. AI Terț
Capacitatea dvs. de a vă îndeplini obligațiile de operator depinde direct de ceea ce vă furnizează furnizorul. Regulamentul UE privind IA impune furnizorilor de sisteme AI de risc ridicat să furnizeze informații specifice — iar furnizorii de modele GPAI au obligații de documentare paralele. Utilizați această listă de verificare la achiziționarea AI terț:
Pentru Orice Sistem AI
- Descrierea sistemului: Ce face sistemul, ce intrări ia, ce ieșiri produce și ce decizii poate influența?
- Scopul intenționat: Exact pentru ce cazuri de utilizare a fost proiectat, validat și aprobat sistemul?
- Limitări cunoscute: În ce condiții funcționează slab sistemul? Ce populații, limbi sau tipuri de date sunt în afara domeniului său validat?
- Instrucțiuni de utilizare: Setul complet de instrucțiuni pe care furnizorul este obligat să le furnizeze conform Art. 13 pentru sistemele de risc ridicat
Specific pentru Sistemele de Risc Ridicat
- Declarația de Conformitate sau rezumatul rezultatelor evaluării conformității
- Documentația de gestionare a riscurilor — ce riscuri au fost identificate și cum au fost atenuate?
- Rezultatele testării prejudecăților și echității — ce caracteristici protejate au fost testate, ce metrici au fost utilizate și ce rezultate s-au obținut?
- Metrici de performanță — acuratețe, rate de fals pozitive/negative și performanța dezagregată pe grupuri demografice relevante
- Capacitate de jurnalizare — confirmarea că sistemul generează jurnalele cerute de Art. 12 și instrucțiuni pentru accesarea și păstrarea acestora
- Procesul de notificare a incidentelor — pe cine să contactați, în ce termen și prin ce canal când apare un incident grav
- Politica de actualizare — cum vă notifică furnizorul actualizările materiale și ce revalidare este necesară după actualizări?
Pentru Modelele GPAI (API-uri și Acces la Modele de Bază)
- Cardul de model sau rezumatul tehnic — capacități, limitări, rezumatul datelor de antrenare, rezultatele evaluării
- Declarația de conformitate cu dreptul de autor — cum abordează furnizorul legislația drepturilor de autor pentru datele de antrenare și ieșiri
- Politica de utilizare acceptabilă — ce cazuri de utilizare sunt interzise de furnizor și ce se întâmplă dacă le încălcați?
- Termenii de procesare a datelor — cum gestionează furnizorul datele dvs. de intrare? Sunt utilizate pentru antrenarea ulterioară?
Când Deveniți Furnizor
Art. 25 al Regulamentului UE privind IA este crucial pentru utilizatorii AI terți: acesta definește când un operator trece la statutul de furnizor și asumă toate obligațiile de furnizor.
Deveniți furnizor când:
1. Modificați Substanțial un Sistem AI de Risc Ridicat
Dacă preluați un sistem AI de risc ridicat și efectuați modificări substanțiale care depășesc ceea ce furnizorul a intenționat — modificând modelul, reantrenând pe datele dvs., alterând logica de bază — sunteți acum furnizor al unui sistem nou sau substanțial modificat. Se aplică toate obligațiile de furnizor: evaluarea conformității, documentația tehnică, marcajul CE, înregistrarea în baza de date UE.
Întrebarea cheie: Personalizarea dvs. este „utilizare în parametrii intenționați" sau „dezvoltarea unei noi capacități"? Ajustarea fină a unui model pe datele dvs. de domeniu poate sau nu să fie o modificare substanțială în funcție de gradul de modificare și dacă afectează profilul de risc.
2. Modificați Scopul Intenționat la Risc Ridicat
Dacă preluați un sistem neclasificat drept risc ridicat și îl implementați pentru un caz de utilizare de risc ridicat — utilizând un clasificator de text general pentru a lua decizii de angajare, de exemplu — ați schimbat scopul intenționat într-un mod care declanșează clasificarea de risc ridicat. Deveniți furnizorul unui sistem AI de risc ridicat și trebuie să respectați toate obligațiile de furnizor pentru acea implementare.
3. Plasați Sistemul pe Piață Sub Propriul Dvs. Nume
Dacă achiziționați sau licențiați un sistem AI și îl revindeți sau îl oferiți altora ca propriul dvs. produs (white-labelling), îl plasați pe piață sub propriul dvs. nume și deveniți furnizorul. Aceasta este frecventă în sectorul SaaS: integrarea unui model terț în oferta dvs. de produse vă face furnizor pentru acel produs.
4. Efectuați Modificări Majore la un Model GPAI
Dacă preluați un model GPAI și efectuați modificări majore la capacitățile sau cazul de utilizare ale acestuia — dincolo de ajustarea fină în parametrii intenționați ai furnizorului — puteți deveni furnizor al unui nou model GPAI cu propriile dvs. obligații ale Capitolului V.
Protecții Contractuale pentru Operatori
Deoarece conformitatea dvs. depinde de ceea ce vă furnizează furnizorul, contractele dvs. cu furnizorii AI terți sunt un instrument critic de conformitate. Clauze cheie de inclus:
Drepturi de Informare
- Dreptul de a primi și versiune actualizată periodic a instrucțiunilor de utilizare
- Dreptul de a accesa declarația de conformitate și rezumatul evaluării conformității
- Dreptul de a primi rezultatele testării prejudecăților și metricele de performanță
- Dreptul de a primi documentația actualizărilor materiale ale modelului înainte de implementare
Gestionarea Incidentelor
- Obligația furnizorului de a vă notifica orice incidente grave sau vulnerabilități despre care iau la cunoștință, într-un termen definit
- Canal clar și proces pentru dvs. de a raporta incidentele furnizorului
- Angajamentul furnizorului de a coopera cu investigațiile dvs. de incidente și anchetele de reglementare
Drepturi de Audit
- Dreptul de a audita sau de a primi rapoarte de audit privind conformitatea furnizorului cu obligațiile Regulamentului privind IA
- Dreptul de a solicita documentație actualizată când apar modificări semnificative
Obligații de Actualizare
- Furnizorul trebuie să vă notifice înainte de implementarea actualizărilor materiale la sistemul AI
- Furnizorul trebuie să vă consilieze dacă o actualizare constituie o modificare substanțială care necesită revalidare
- Continuitatea documentației — documentația tehnică actualizată trebuie furnizată cu fiecare actualizare materială
Alocarea Răspunderii
- Claritate cu privire la care parte este responsabilă pentru ce obligații conform Art. 25
- Despăgubiri pentru pierderile rezultate din neconformitatea furnizorului cu obligațiile de furnizor
- Dispoziții de limitare a răspunderii care nu subminează capacitatea dvs. de a vă îndeplini obligațiile de reglementare
Piața Furnizorilor AI: Ce să Urmăriți
Piața instrumentelor și serviciilor AI evoluează rapid, iar poziția de conformitate cu Regulamentul UE privind IA a furnizorilor variază semnificativ:
- Furnizorii majori de cloud și AI (Microsoft, Google, AWS, OpenAI, Anthropic) au investit masiv în guvernanța AI și documentația de conformitate GPAI. Termenii lor de serviciu și cardurile de model furnizează mai multe informații decât cei mai mulți alți furnizori.
- Furnizorii AI verticali specializați (tech HR, tech juridic, fintech, healthtech) se află în diferite stadii de pregătire conform Regulamentului UE privind IA. Mulți sunt IMM-uri care nu și-au mapă complet încă obligațiile.
- AI încorporat în instrumente SaaS (funcții AI în CRM, ERP, instrumente de productivitate) poate să nu fie comercializat ca „produse AI" — dar dacă iau sau influențează decizii consecvente privind persoanele, se aplică obligațiile Regulamentului UE privind IA.
Echipele de achiziții ar trebui să adauge screeningul conformității cu Regulamentul privind IA la diligența furnizorilor — solicitând furnizorilor să ateste statutul lor de conformitate, să furnizeze documentația de conformitate pentru sistemele de risc ridicat și să se angajeze la schimbul continuu de informații pe măsură ce peisajul de reglementare se dezvoltă.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Da, ca operatori. Furnizorul API (OpenAI, Anthropic) este furnizorul modelului GPAI și poartă obligațiile GPAI. Dacă construiți o aplicație pe API-ul lor și o puneți la dispoziția utilizatorilor, deveniți furnizorul acelei aplicații (un sistem AI). Aveți obligații de operator față de modelul GPAI de bază și obligații de furnizor pentru propriul dvs. sistem AI.
Pentru sistemele AI de risc ridicat: furnizorul (ca furnizor) trebuie să furnizeze instrucțiunile de utilizare (Art. 13) și un rezumat al evaluării conformității sau declarația de conformitate. Pentru modelele GPAI: furnizorii trebuie să furnizeze documentație tehnică și informații necesare pentru conformitatea din aval. Solicitați contractual: descrierea sistemului, limitările cunoscute, rezultatele testării prejudecăților, metricele de performanță și procedurile de raportare a incidentelor.
Contractual, puteți aloca responsabilitatea între părți — dar răspunderea de reglementare nu poate fi eliminată prin contract. Dacă implementați un sistem AI de risc ridicat, aveți obligații de operator indiferent de acordul dvs. Utilizați contractele pentru a vă asigura că furnizorul vă oferă ceea ce aveți nevoie pentru a vă îndeplini obligațiile, nu pentru a le evita.
Regulamentul UE privind IA se aplică sistemelor AI plasate pe piața europeană indiferent de locul în care este stabilit furnizorul. Furnizorii non-UE trebuie să desemneze un reprezentant autorizat în UE (Art. 22) care are aceleași obligații juridice ca un furnizor stabilit în UE. Verificați că furnizorul are un reprezentant autorizat înainte de a implementa sistemul lor AI.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.