Νέες Νομικές Υποχρεώσεις και Προκλήσεις που επιφέρει ο Ευρωπαϊκός Κανονισμός
Αναστασία Φύλλα, Δικηγόρος
LLM Information Technology and Communications Law
Η μεγάλη σημασία της κυβερνοασφάλειας στην ανθεκτικότητα των συστημάτων τεχνητής νοημοσύνης έχει ήδη αναγνωριστεί από τον Κανονισμό (ΕΕ) 2024/1689 για την Τεχνητή Νοημοσύνη[1] (EU AI Act).
Ειδικότερα, στο Προοίμιο 76 επισημαίνεται ο ρόλος της κυβερνοασφάλειας στη διασφάλιση της ανθεκτικότητας των συστημάτων έναντι προσπαθειών κακόβουλων τρίτων να αλλοιώσουν τη χρήση, τη συμπεριφορά ή τις επιδόσεις τους ή να διακινδυνεύσουν τις ιδιότητες ασφαλείας τους, αξιοποιώντας τυχόν αδύναμα σημεία. Έτσι, κυβερνοεπιθέσεις μπορούν να στοχεύσουν τόσο τα σύνολα δεδομένων εκπαίδευσης («data poisoning»), όσο και τα αδύναμα σημεία των ψηφιακών πόρων του συστήματος ΤΝ ή των υποκείμενων υποδομών ΤΠΕ.
Ο Κανονισμός για την Τεχνητή Νοημοσύνη (EU AI Act)
Ο Κανονισμός για την Τεχνητή Νοημοσύνη αποτελεί το πρώτο εκτενές νομικό πλαίσιο στην Ευρώπη για την ΤΝ, στο οποίο τα συστήματα ρυθμίζονται ανάλογα με το επίπεδο κινδύνου τους. Στο άρθρο 15 επιβάλλονται ειδικές υποχρεώσεις κυβερνοασφάλειας μόνο για τα συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου.
Σύμφωνα με την παρ. 1 του άρθρου 15, τα συστήματα αυτά «σχεδιάζονται και αναπτύσσονται κατά τρόπο ώστε να επιτυγχάνουν κατάλληλο επίπεδο ακρίβειας, στιβαρότητας και κυβερνοασφάλειας και να λειτουργούν με συνέπεια καθ’ όλη τη διάρκεια του κύκλου ζωής τους». Η παρ. 4 προσθέτει ότι τα συστήματα πρέπει να είναι ανθεκτικά σε σφάλματα, αστοχίες ή ασυνέπειες που ενδέχεται να προκύψουν είτε εντός του συστήματος είτε στο περιβάλλον λειτουργίας τους, ειδικότερα λόγω αλληλεπίδρασης με φυσικά πρόσωπα ή άλλα συστήματα. Παράλληλα, ορίζεται η υποχρέωση ανθεκτικότητας έναντι προσπάθειας μη εξουσιοδοτημένων τρίτων να αλλοιώσουν στοιχεία χρήσης, εξόδου ή επιδόσεων του του συστήματος[2].
Συμμόρφωση με την απαίτηση κυβερνοασφάλειας
Σύμφωνα με την παρ. 5 του άρθρου 15, για την επίτευξη του απαιτούμενου επιπέδου κυβερνοασφάλειας πρέπει να λαμβάνονται κατάλληλες τεχνικές λύσεις, ανάλογα με τις περιστάσεις και τους κινδύνους, λαμβάνοντας υπόψη όλες τις απαιτήσεις του Κανονισμού σε σχέση με τον μετριασμό των κινδύνων για την υγεία, την ασφάλεια και τα θεμελιώδη δικαιώματα[3].
Επιπλέον, σύμφωνα με τον Κανονισμό για την Κυβερνοανθεκτικότητα, προϊόντα με ψηφιακά στοιχεία που εμπίπτουν στο πεδίο εφαρμογής του και ταξινομούνται ταυτόχρονα ως συστήματα ΤΝ υψηλού κινδύνου θεωρούνται ότι συμμορφώνονται με τις απαιτήσεις του άρθρου 15 του EU AI Act, εφόσον πληρούν τις απαιτήσεις του Παραρτήματος Ι (Μέρος Ι και ΙΙ) του Κανονισμού για την Κυβερνοανθεκτικότητα. Η επίτευξη του απαιτούμενου επιπέδου προστασίας αποδεικνύεται μέσω της δήλωσης συμμόρφωσης ΕΕ που προβλέπεται δυνάμει του εν λόγω κανονισμού.
Υποχρεώσεις για μοντέλα γενικού σκοπού με συστημικό κίνδυνο (GPAI)
Στο άρθρο 55 παρ. 1(δ) του EU AI Act ορίζεται η υποχρέωση των παρόχων μοντέλων ΤΝ γενικού σκοπού με συστημικό κίνδυνο (GPAI) να διασφαλίζουν κατάλληλο επίπεδο κυβερνοασφάλειας τόσο για το μοντέλο όσο και για την υποκείμενη υλική υποδομή. Η συμμόρφωση αυτή μπορεί να αποδειχθεί μέσω της υπογραφής του κώδικα πρακτικής, έως ότου δημοσιευθεί το εναρμονισμένο πρότυπο.
Στο κεφάλαιο Προστασία και Ασφάλεια[4], περιλαμβάνεται η δέσμευση υπ’αρ. 6 που αφορά τον μετριασμό της ασφάλειας με σκοπό να διασφαλιστεί ότι οι συστημικοί κίνδυνοι που προέρχονται από το μοντέλο και δύναται να δημιουργούνται από μη εξουσιοδοτημένη κυκλοφορία, πρόσβαση ή/και κλοπή του μοντέλου να είναι αποδεκτοί. Τα ανωτέρω καθίσταται δυνατά με τον καθορισμό του Στόχου Ασφαλείας (Security Goal) και της λήψης Μέτρων μετριασμού ασφαλείας για την επίτευξη του Στόχου Ασφαλείας.
Κατευθυντήριες Γραμμές δεοντολογίας για αξιόπιστη τεχνητή νοημοσύνη
Η Τεχνική στιβαρότητα και ασφάλεια, αναγνωρίζεται ως μια από τις απαιτήσεις για την επίτευξη της αξιόπιστης Τεχνητής Νοημοσύνης, όπως αυτή αναγνωρίζεται στις «Κατευθυντήριες Γραμμές δεοντολογίας για αξιόπιστη τεχνητή νοημοσύνη»[5], συνιστάμενη σε ανθεκτικότητα σε επιθέσεις και προστασία από ευπάθειες που είναι δυνατόν να επιτρέπουν την εκμετάλλευση των συστημάτων από τους επιτιθέμενους, τη διάθεση εγγυήσεων όπως το εφεδρικό σχέδιο και η γενική ασφάλεια για την αντιμετώπιση προβλημάτων συμπεριλαμβανομένης της ελαχιστοποίησης των ακούσιων συνεπειών και σφαλμάτων, της εξασφάλισης της ακρίβειας ως προς τις κρίσεις και της αξιοπιστίας και αναπαραγωγιμότητας των αποτελεσμάτων του συστήματος τεχνητής νοημοσύνης.
Αντί για συμπέρασμα
Η σημασία της κυβερνοασφάλειας στην τεχνητή νοημοσύνη αναδεικνύεται ως καίρια. Παρουσιάστηκαν δύο βασικές κατηγορίες υποχρεώσεων του Κανονισμού Τεχνητής Νοημοσύνης: για τους παρόχους συστημάτων υψηλού κινδύνου και για τους παρόχους μοντέλων γενικού σκοπού με συστημικό κίνδυνο. Περαιτέρω εξειδίκευση των απαιτήσεων του άρθρου 15 αναμένεται μέσα από τις Κατευθυντήριες Γραμμές της Επιτροπής και τα εναρμονισμένα πρότυπα του άρθρου 40 του Κανονισμού, τα οποία θα προσδιορίσουν ακόμη περισσότερο τις υποχρεώσεις συμμόρφωσης.
Τα ανωτέρω έχουν ενημερωτικό χαρακτήρα και δε συνιστούν εξατομικευμένη νομική συμβουλή.
[1] Κανονισμός (ΕΕ) 2024/1689 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 13ης Ιουνίου 2024 για τη θέσπιση εναρμονισμένων κανόνων σχετικά με την τεχνητή νοημοσύνη και την τροποποίηση των κανονισμών (ΕΚ) αριθ. 300/2008, (ΕΕ) αριθ. 167/2013, (ΕΕ) αριθ. 168/2013, (ΕΕ) 2018/858, (ΕΕ) 2018/1139 και (ΕΕ) 2019/2144 και των οδηγιών 2014/90/ΕΕ, (ΕΕ) 2016/797 και (ΕΕ) 2020/1828 (κανονισμός για την τεχνητή νοημοσύνη)
[2] Παράγραφος 5 άρθρου 15 Κανονισμού για την τεχνητή νοημοσύνη.
[3] Henrik Nolte, Miriam Rateike, and Michèle Finck. 2025. Robustness and Cybersecurity in the EU Artificial Intelligence Act. In The 2025 ACM Conference on Fairness, Accountability, and Transparency (FAccT ’25), June 23–26, 2025, Athens, Greece. ACM, New York, NY, USA, 13 pages. https://doi.org/ 10.1145/3715275.3732020
[4] https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai
[5] Της Ανεξάρτητης Ομαδας εμπειρογνωμόων υψηλού επιπέδου για την τεχνητή νοημοσύνη, https://digital-strategy.ec.europa.eu/el/library/ethics-guidelines-trustworthy-ai
