Zašto je klasifikacija prva stvar koju radite?
Ako promašite klasifikaciju:
- radite previše (trošak) ili premalo (rizik)
- vendor odnosi postanu konfuzne (“tko je odgovoran?”)
- audit readiness bude “paper compliance”
AI Act: 4 razine rizika
Uredba eksplicitno navode da AI Act klasificira AI sustave u četiri kategorije rizika.
- Unacceptable risk (zabranjeno) – AI prakse koje predstavljaju neprihvatljiv rizik i zabranjene su (članak 5).
Primjeri i granice “što je zabranjeno” često nisu intuitivni — zato postoje detaljne smjernice o prohibited praksama. - High-risk (strogi zahtjevi i dokazivost) – High-risk je dopušten, ali uz zahtjeve (npr. risk management, data governance, dokumentacija, logovi, human oversight…).
- Limited risk (uglavnom transparentnost) – Ovdje tipično ulaze obveze transparentnosti: npr. kada ljudi interagiraju s AI sustavom, kada se generira sintetički sadržaj i sl. (članak 50 i povezane obveze).
- Minimal / no risk -Za većinu “low impact” use-caseova nema posebnih AI Act zahtjeva osim dobrih praksi (ali i dalje vrijede drugi okviri poput GDPR-a, sektorskih pravila itd.).
Zašto je klasifikacija rizika “prva domino kockica”
Jer klasifikacija određuje:
- koje artefakte morate imati (dokazivost)
- kakav governance i kontrole trebate u procesu
- hoće li vam trebati ozbiljniji conformity assessment (u nekim slučajevima)
Najskuplja greška u praksi: krenuti pisati policy prije nego što imate inventar use-caseova i pravilno označen rizik.
Brzi operativni “triage”: jesmo li high-risk?
Ovo je pragmatičan postupak koji možete napraviti u 30–60 minuta po use-caseu.
Korak 1 — Opis use-casea u jednoj rečenici
Format: “AI pomaže u [procesu] tako da [radi što], kako bi [postigao cilj].”
Bez ovoga nema dobre klasifikacije.
Korak 2 — Unacceptable risk “red flag” provjera (prvo!)
Prije high-risk provjere, provjerite imate li potencijalno prohibited elemente (npr. određene manipulativne/deceptive tehnike ili specifične biometrijske scenarije). Smjernice o prohibited praksama daju interpretacije i primjere.
Ako “miriši” na prohibited — ne radite dalje sami napamet. Tu obično radimo brzi review i preporučimo mitigacije ili redesign.
Korak 3 — Spada li use-case u high-risk domene?
High-risk se u praksi najčešće prepoznaje po tome da AI:
- utječe na zapošljavanje / radni odnos
- utječe na pristup ključnim uslugama (npr. kreditiranje, osiguranje, socijalne usluge)
- radi s određenim vrstama biometrike ili evaluacije osoba
- ima posljedice po zdravlje i sigurnost
Smjernice naglašavaju da se prohibited i high-risk mogu preklapati ovisno o kontekstu: nešto što je “iznimka” od zabrane često završi kao high-risk (uz stroge uvjete).
Korak 4 — Ako nije high-risk: imate li limited risk obveze?
Tipično “limited risk” nastaje kad:
- korisnik mora znati da komunicira s AI (chatbot)
- sadržaj je AI-generiran/manipuliran (npr. “deepfake” označavanje)
Ova “interplay” logika se spominje i u smjernicama o prohibited praksama kroz transparentnost obveze.
Korak 5 — Minimal risk (ali ipak uvedite osnovne kontrole)
Ako ste u minimal risku:
- barem uvedite inventar + ownera + pravila promjena (change log)
- i “AI literacy” (tko smije koristiti, kako, s kojim ograničenjima)
Što “high-risk” mijenja u praksi (bez teorije)
Ako ste high-risk, fokus se pomiče na dokazivost kroz cijeli lifecycle:
- Risk management kao kontinuirani proces (ne jednokratno)
- Record-keeping / logovi (što se dogodilo, kada, koja verzija, tko je potvrdio) — posebno strogo u nekim kategorijama poput remote biometrics
- Human oversight: definirate razinu autonomije (HITL/HOTL) i mehanizme intervencije
- Transparentnost i upute za korištenje da deployer može interpretirati output i koristiti ga pravilno
- Cybersecurity/robustnost kroz lifecycle (za high-risk je to eksplicitno naglašeno)
Ono što namjerno ne stavljamo “do kraja” javno: puni popis polja za risk register + scoring model + primjer kompletne evidence strukture za konkretan sektor. To dajemo kroz gap analysis (jer se inače krivo implementira).
| Razina | Što znači | Tipična posljedica |
|---|---|---|
| Unacceptable | Zabranjeno | Redesign / stop / iznimno specifične iznimke |
| High-risk | Dozvoljeno uz stroge zahtjeve | Evidence pack + kontrole + lifecycle monitoring |
| Limited | Uglavnom transparentnost | Obavijest korisniku / označavanje sadržaja |
| Minimal | Nema specifičnih AI Act obveza | Osnovne interne kontrole + druge regulative |
Najčešće greške koje krivo “gurnu” use-case u krivu kategoriju
- Gleda se model, ne use-case (“to je samo LLM” → ali se koristi za odluke o ljudima)
- Vendor kaže ‘mi smo compliant’ pa deployer zanemari svoje obveze (npr. kako koristi output, training, nadzor)
- Nema logova/records pa se kasnije ništa ne može dokazati
- Transparentnost se zamijeni UX copyjem, bez stvarnih uputa i ograničenja
Save trigger: checklist za risk classification
- Use-case opis (1 rečenica)
- Domena + na koga utječe (kupci, zaposlenici, pacijenti…)
- Unacceptable risk red flags (DA/NE + bilješka)
- High-risk screening (DA/NE + razlog)
- Limited risk screening (transparentnost: DA/NE)
- Owner + approval gate (tko potpisuje klasifikaciju)
- Evidence link (gdje je dokumentirano)
FAQ
Koje su 4 razine rizika u EU AI Actu?
Unacceptable (zabranjeno), high-risk, limited risk i minimal/no risk.
Može li nešto biti i high-risk i prohibited?
Ovisi o kontekstu: smjernice pojašnjavaju da se u nekim slučajevima high-risk sustav u specifičnoj uporabi može kvalificirati kao prohibited praksa.
Ako koristimo chatbot za podršku korisnicima — je li to high-risk?
Najčešće nije, ali često upada u transparentnost obveze (limited risk), ovisno o implementaciji.
Za sva pitanja oko rizičnosti AI sustava i njegove klasifikacije javite nam se putem poruke.