A szabályozási határidők csúsznak, a bírságok viszont már most is valósak. Íme, amit minden európai vállalatnak tudnia kell az AI Act aktuális állásáról — és ami nem várhat 2027-re.
A látszólagos légzésvétel mögött komoly csapda rejtőzik
Az Európai Bizottság februárban másodszorra is elmulasztotta a magas kockázatú AI-rendszerek osztályozási iránymutatásának közzétételét. Első reakcióra ez jó hírnek tűnhet a vállalatoknak: ha nincs iránymutatás, nincs megfelelési kötelezettség. Ez a logika azonban veszélyes tévút.
A háttérben a Digital Omnibus csomag már a szigorúbb auditok 2027-es eltolását készíti elő — miközben a tiltott AI-gyakorlatokért már most is büntethetnek. A szabályozási vákuum nem mentesítés, hanem időzített bomba.
Az MI-műveltség: a határidő, ami már lejárt
Az AI Act 4. cikke szerinti MI-jártassági kötelezettség 2025. február 2. óta alkalmazandó. Ez nem jövő évi feladat — ez tegnapi kötelezettség. 2026 februárjára a tagállami hatóságok elkezdték vizsgálni, hogy a cégek rendelkeznek-e dokumentált képzési tervvel.
Amit sokan félreértenek: az MI-műveltség nem csupán technikai tudást jelent. A szabályozás az etikai határok, kockázatok és torzítások ismeretét is elvárja. Aki nem tudja papíron igazolni az alkalmazottak oktatását, az már ma is bírságolható a „gondos eljárás” hiánya miatt.
A cégek magas kockázatú AI-rendszereket üzemeltetnek, miközben kénytelenek „találgatni” saját megfelelési szintjüket.
Magas kockázatú rendszerek: ki érintett?
Ha a vállalatnál toborzási algoritmus, biometrikus azonosítás, hitelértékelő rendszer vagy automatizált döntéshozó fut — az valószínűleg magas kockázatú kategóriába esik. Az iránymutatás hiánya nem jelenti azt, hogy ezek a rendszerek szabályozáson kívül lennének.
- Toborzási algoritmusok — automatizált szűrés, rangsorolás
- Biometrikus azonosítás — arcfelismerés, ujjlenyomat-alapú beléptetés
- Hitelértékelés és kockázatelemzés — banki és fintech alkalmazások
- Kritikus infrastruktúra-menedzsment — energia, közlekedés, egészségügy
Az agentic AI: az új kiberbiztonsági vakfolt
2026-ra az MI-ügynökök (agentic AI) szintet léptek: a passzív predikciótól eljutottunk az autonóm, többlépcsős végrehajtásig. A Google Cloud friss elemzése szerint a kontrollálatlan, háttérben futó „shadow agents” jelentik a legnagyobb kiberbiztonsági kockázatot.
Az EU elvárása egyértelmű: az autonóm folyamatoknak EU-n belül kell futniuk, és kötelező a „vészleállító” (kill switch) protokoll rögzítése. Aki ezt nem tudja auditálható formában igazolni, súlyos megfelelési kockázatnak van kitéve.
Három dolog, amit most kell megtenni
- Literacy dokumentáció elkészítése azonnal. Egy egyszerű, dátumozott képzési napló elegendő kiindulópontnak — de legyen meg.
- Ne a halasztásra építs stratégiát. A 2027-es csúszás bónusz lehet, nem alap. A magas kockázatú audit-felkészülést 2026-ban kell megkezdeni.
- Agent-regiszter bevezetése. Minden olyan MI-ügynököt, amely önállóan végez adatmódosítást vagy tranzakciót, nyilvántartásba kell venni.
Ez a cikk általános tájékoztatási célokat szolgál. A konkrét megfelelési kérdésekben kérje jogi és compliance szakértő véleményét.
