EU AI Act

EU GPAI: obligatii pentru utilizatorii AI

Petru Constantin
--6 min lectura
#eu-ai-act#ai-security#gpai#compliance#devidevs

UE a actionat impotriva X si Meta pentru conformitatea GPAI. Integrarea ta este urmatoarea.

Mecanismul de aplicare tocmai a pornit

Pe 8 ianuarie 2026, Comisia Europeana a emis ordine oficiale de pastrare a documentelor catre X pentru chatbot-ul sau Grok. Pana pe 26 ianuarie, a escaladat la proceduri complete impotriva X si xAI pentru proliferarea de deepfakes. Meta este sub investigatie pentru riscuri sistemice GPAI. Acestea sunt primele actiuni reale de aplicare conform prevederilor EU AI Act pentru AI de uz general, si au venit cu luni inainte de termenul din 2 august 2026 cand amenzile de pana la 15 milioane EUR sau 3% din cifra de afaceri globala devin aplicabile.

Daca esti CTO si rulezi GPT-4 in productie, sau un startup care foloseste Claude pentru suport clienti, sau o companie enterprise cu Llama ajustat fin pentru fluxuri interne, asta te priveste direct. Nu pentru ca UE va veni dupa aplicatia ta SaaS maine. Ci pentru ca obligatiile GPAI care se aplica furnizorilor tai creaza si obligatii in aval care se aplica direct tie.

Ce inseamna obligatiile GPAI pentru deployeri

AI Act imparte responsabilitatile pe lantul de valoare. Articolul 53 loveste furnizorii GPAI: trebuie sa mentina documentatie tehnica, sa publice rezumate ale datelor de antrenament si sa respecte legislatia UE privind drepturile de autor. Articolul 55 adauga cerinte pentru riscuri sistemice la modelele mari: testare adversariala, raportarea incidentelor, protectii de securitate cibernetica.

Aceste obligatii sunt in vigoare de la 2 august 2025. Furnizorul tau de AI ar trebui sa fie deja in conformitate.

Aici devine real pentru deployeri. Conform AI Act, furnizorii GPAI trebuie sa iti furnizeze, ca deployer in aval, informatii suficiente pentru a intelege capabilitatile, limitarile si riscurile modelului, astfel incat TU sa te poti conforma cu propriile TALE obligatii. Daca construiesti un sistem AI cu risc ridicat pe baza GPT sau Claude, Articolul 26 iti da o lista separata de cerinte: supraveghere umana, monitorizarea calitatii datelor de intrare, retinerea jurnalelor cel putin sase luni, raportarea incidentelor si informarea utilizatorilor ca interactioneaza cu un AI.

Furnizorul iti da documentatia. Tu esti responsabil pentru tot ce se intampla dupa ce integrezi modelul lor in produsul tau.

Cei trei furnizori de care depinde conformitatea ta

GPAI Code of Practice a fost finalizat in iulie 2025. OpenAI, Anthropic si Google sunt semnatari deplini. Este o veste buna daca folosesti modelele lor. Semnarea codului este un semnal puternic de conformitate si inseamna ca ar trebui sa produca documentatia de care ai nevoie.

Meta a refuzat sa semneze. Nu a fost un refuz partial. Meta a respins explicit Code of Practice si a restrictionat accesul la Llama 4 pentru companiile din UE. xAI a semnat doar capitolul de Safety and Security, ceea ce inseamna ca transparenta si conformitatea privind drepturile de autor trebuie demonstrate prin "mijloace alternative adecvate."

Ce inseamna asta pentru tine?

  • Folosesti GPT-4 sau Claude? Furnizorul tau a semnat codul. Ar trebui sa primesti documentatie tehnica. Daca nu primesti, solicita-o. Ai nevoie de ea pentru propriul dosarul de conformitate.
  • Folosesti Llama (self-hosted)? Actionezi probabil atat ca furnizor cat si ca deployer. Refuzul Meta de a semna codul nu te scuteste pe tine de reglementare. Porti intreaga sarcina de conformitate.
  • Folosesti Grok (prin X/xAI)? Furnizorul tau este sub proceduri de aplicare active. Calitatea documentatiei pe care o primesti este incerta, in cel mai bun caz.

Ce trebuie sa faci inainte de 2 august 2026

Nu mai trata conformitatea GPAI ca "problema altcuiva." Furnizorul tau se ocupa de Articolul 53. Tu te ocupi de tot ce vine in aval. Iata o lista concreta:

1. Documenteaza lantul tau de furnizare GPAI. Ce modele folosesti? Prin ce API-uri? Cine este furnizorul si este semnatar al AI Act? Daca ai ajustat fin sau modificat un model, este posibil sa fi devenit furnizor tu insuti conform regulilor de "modificare substantiala" ale Regulamentului.

2. Solicita documentatie de la furnizor. Articolul 53 cere furnizorilor GPAI sa ofere deployer-ilor in aval documentatie tehnica. Daca furnizorul tau nu ti-a trimis nimic despre capabilitati, limitari, utilizari intentionate si factori de risc, solicita-le. Pune cererea in scris.

3. Verifica daca utilizarea ta este cu risc ridicat. Daca implementezi GPT sau Claude in screening HR, scorare de credit, evaluare educationala, suport pentru aplicarea legii sau orice categorie din Anexa III, declanseaza obligatiile de deployer din Articolul 26: supraveghere umana, monitorizare, retinerea jurnalelor, evaluarea impactului asupra drepturilor fundamentale.

4. Configureaza logarea si monitorizarea. Sase luni de retinere a jurnalelor este minimul legal pentru implementari cu risc ridicat. Daca apelezi un API si nu stochezi inputurile, outputurile si metadatele, incepe acum.

5. Pregateste procese de raportare a incidentelor. Daca sistemul tau AI cauzeaza daune, trebuie sa raportezi furnizorului SI autoritatii nationale relevante. Ai un proces pentru asta? Majoritatea companiilor nu au.

Cum abordeaza DeviDevs aceasta problema

Am auditat implementari GPAI inca de dinainte sa inceapa aplicarea. Tiparul este mereu acelasi: echipa de inginerie a integrat modelul, a lansat produsul si nimeni nu a documentat lantul de conformitate. Cand intrebam "ce documentatie v-a dat furnizorul GPAI?", raspunsul este de obicei o privire goala.

Rezolvarea nu este complicata. Este o evaluare structurata: mapeaza dependentele tale GPAI, clasifica utilizarile pe categoriile din Anexa III, colecteaza documentatia furnizorului si construieste dosarul de conformitate inainte ca regulatorul sa il ceara. Daca ai amanat pana acum, mai putin de cinci luni este strans dar fezabil.

Incotro se indreapta lucrurile

Actiunile de aplicare impotriva X si Meta sunt cazuri test. AI Office stabileste precedente inainte de termenul de penalizare din 2 august 2026. Cand amenzile devin aplicabile, modelul de aplicare se va muta in aval. De la furnizori la deployerii care au construit produse pe acele modele fara documentatie.

Companiile care o vor duce cel mai greu sunt cele care folosesc modele GPAI open-source (in special Llama) fara sa realizeze ca au absorbit obligatiile de conformitate ale furnizorului cand au facut self-hosting. Doar 8 din 27 de state membre au desemnat puncte de contact pentru AI Act la data de martie 2026. Celelalte state membre inca le configureaza pe ale lor. Cand aplicarea se extinde, "am crezut ca furnizorul nostru se ocupa de conformitate" nu va fi o aparare valida.

Conformitatea GPAI a furnizorului tau este problema lor. Implementarea ta este a ta.

Despre DeviDevs: Construim platforme ML, securizam sisteme AI si ajutam companiile sa se conformeze cu EU AI Act. devidevs.com

Nu esti sigur unde se incadreaza sistemul tau AI conform EU AI Act? Fa evaluarea gratuita de risc - afla in 2 minute →

Ai nevoie de ajutor cu conformitatea EU AI Act sau securitatea AI?

Programeaza o consultatie gratuita de 30 de minute. Fara obligatii.

Programeaza un Apel

Weekly AI Security & Automation Digest

Get the latest on AI Security, workflow automation, secure integrations, and custom platform development delivered weekly.

No spam. Unsubscribe anytime.

Related Articles

EU AI Act

GDPR + AI Act: evaluare unificata de conformitate

Sistemul tau de AI care proceseaza date personale intra sub incidenta atat a GDPR cat si a AI Act. Afla cum sa faci o evaluare unificata DPIA plus FRIA si.

8 min read
EU AI Act

Termenul EU AI Act NU s-a schimbat. Iata de ce.

Parlamentul si Consiliul au votat, dar termenul limita din august 2026 al EU AI Act este inca lege. Intarzierea propusa prin Digital Omnibus nu este.

7 min read
MLOps

ML Model Registry: baza conformitatii EU AI Act

Anexa IV a EU AI Act cere trasabilitate completa a modelelor si versionare. Registrul de modele ML este fundatia conformitatii. Iata cum construiesti unul.

7 min read
← Inapoi la Blog