Już 2 sierpnia 2025 r.  rozpoczną swoje stosowanie  kolejne przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r (aktu o sztucznej inteligencji) – dalej AI Act, nakładające m.in. obowiązki na dostawców modeli AI ogólnego przeznaczenia (tj. modeli zdolnych do wykonywania różnych zadań, trenowanych na dużej ilości danych), na których opierane są systemy AI ogólnego przeznaczenia (samodzielne produkty nadające się do bezpośredniego stosowania lub zintegrowane z innymi systemami lub aplikacjami).

Jakkolwiek stosowanie zasadniczej z części AI Act będzie miało miejsce po upływie dalszych 12 miesięcy (od 2 sierpnia 2026 r.), to jednak, żeby umożliwić legalne prowadzenie działalności, zwłaszcza projektując nowe usługi cyfrowe, warto już teraz przeanalizować czy i w jakim zakresie zajdzie konieczność wdrożenia wymagań AI Act.

Pierwszą czynnością jakiej należało będzie dokonać należało jest określenie czy wykorzystywany system oprogramowania jest systemem AI, którym zgodnie z definicją jest „system maszynowy, zaprojektowany do działania z różnym poziomem autonomii, który może po wdrożeniu wykazywać zdolność adaptacji i który – do wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne”. Powyższa definicja wprowadza cechy charakterystyczne systemu AI w postaci autonomiczności (funkcjonowania bez potrzeby interwencji człowieka), zdolności do wnioskowania (umiejętności generowania określonych treści, wniosków czy zaleceń) oraz zdolności adaptacji (przystosowywania się po wdrożeniu – co jest jednak cechą fakultatywną). Analiza pozwoli na wyeliminowanie systemów nie spełniających powyższych cech, w zakresie wdrażania których AI Act nie będzie miał zastosowania.

W przypadku pozytywnego zakwalifikowania wdrażanego systemu jako  systemu AI, dla określenia dopuszczalności jego stosowania i związanych z tym obowiązków, niezbędne będzie skategoryzowanie go do jednej z 4 grup wyróżnionych przez AI Act. Pierwszą kategorią są systemy AI, których wykorzystanie jest zakazane z uwagi na nieakceptowalny poziom ingerencji w chronione wartości, a które wskazano w rozdziale II AI Act. Drugą kategorię, stanowią systemy AI wysokiego ryzyka – bądź spełniające łącznie przesłanki z art. 6 ust. 1 AI Act (system jako produkt lub element bezpieczeństwa produktu objęty jest regulacją wskazaną w załączniku nr I do AI Act oraz objęty jest wymogiem oceny zgodności przez stronę trzecią w celu wprowadzenia do obrotu lub oddania do użytku zgodnie z załącznikiem nr I do AI Act), bądź wymienione w załączniku nr III do AI Act. Trzecią kategorię stanowią systemy AI generujące ograniczone ryzyko, natomiast kategorię czwartą kategorię – systemy, które albo nie generują żadnego ryzyka, albo utrzymuje się ono na minimalnym poziomie.

Najszerszy zakres obowiązków dotyczy systemów AI wysokiego ryzyka, które są dopuszczalne, ale  pod warunkiem spełnienia warunków wskazanych w AI Act. Poza obowiązkami związanymi ze sporządzeniem dokumentacji technicznej, rejestrowaniem zdarzeń, przejrzystością i dostępnością oraz zapewnieniem nadzoru człowiek wyodrębniono wymóg wdrożenia systemu zarządzania ryzykiem, związany z podejściem opartym na ryzyku znanym z wcześniejszych rozporządzeń Parlamentu Europejskiego i Rady.