Ohjelmistoprojektit, Tekoäly ohjelmistokehityksessä

EU AI Act selitetty: riskiluokat, vaatimukset ja ohjelmistokehitys

EU AI Act ohjelmistokehityksessä – mitä kehittäjän tulee tietää?

Euroopan unionin tekoälysäädös, EU AI Act, on maailman ensimmäinen kattava tekoälyä koskeva lainsäädäntö. Se astui voimaan elokuussa 2024 ja tulee vaikuttamaan käytännössä kaikkiin organisaatioihin, jotka kehittävät tai hyödyntävät tekoälyä.

Moni kehittäjä ajattelee edelleen, että sääntely koskee ennen kaikkea juristeja tai compliance-tiimejä. Todellisuudessa EU AI Act muuttaa suoraan sitä, miten ohjelmistoja suunnitellaan, kehitetään ja ylläpidetään.

Ydinajatus on yksinkertainen: tekoälyä ei säädellä teknologiana, vaan sen käyttötarkoituksen perusteella.

Mitä EU AI Act säätelee?

Yksi yleisimmistä väärinkäsityksistä liittyy siihen, mitä EU AI Act oikeastaan säätelee. Laki ei keskity siihen, mitä mallia käytetään, vaan siihen, mihin tarkoitukseen sitä käytetään.

Sama kielimalli voi olla täysin vähäriskinen yhdessä käyttötapauksessa ja erittäin tiukasti säännelty toisessa. Esimerkiksi käännöstyökalu kuuluu yleensä minimaalisen riskin luokkaan. Jos samaa teknologiaa käytetään rekrytoinnissa arvioimaan työnhakijoita, järjestelmä voi kuulua suuririskisten tekoälyjärjestelmien piiriin.

Tämän vuoksi riskiluokittelu ei ole pelkästään tekninen kysymys, vaan liiketoimintapäätös, joka vaikuttaa koko ohjelmistokehitysprojektiin.

Käyttötarkoitus määrittää riskitason

EU AI Act perustuu riskiperusteiseen lähestymistapaan. Mitä suurempi vaikutus järjestelmällä voi olla ihmisten oikeuksiin, turvallisuuteen tai mahdollisuuksiin, sitä enemmän velvoitteita siihen kohdistuu.

Ohjelmistokehityksessä ensimmäinen kysymys ei enää ole, mitä teknologioita käytetään, vaan mihin tarkoitukseen ratkaisua rakennetaan. Tämä määrittää koko projektin sääntelyvaatimukset.

EU AI Actin neljä riskiluokkaa

Kielletty riski

Kielletyn riskin järjestelmät ovat tekoälyratkaisuja, joita ei saa ottaa käyttöön lainkaan. 

Näihin kuuluvat esimerkiksi:

  • sosiaalinen pisteytys
  • reaaliaikainen biometrinen tunnistaminen julkisilla paikoilla tietyin poikkeuksin
  • manipuloivat tai hyväksikäyttävät tekoälysovellukset

Suuririskiset tekoälyjärjestelmät

Suuririskisiin järjestelmiin kuuluvat esimerkiksi:

  • rekrytointi- ja henkilöstöjärjestelmät
  • luottopäätöksiä tukevat ratkaisut
  • koulutukseen liittyvät arviointijärjestelmät
  • kriittisen infrastruktuurin järjestelmät

Näille asetetaan laajoja vaatimuksia, kuten:

  • riskienhallinta
  • tekninen dokumentaatio
  • lokitus
  • datan hallinta
  • ihmisen valvonta
  • jatkuva seuranta

Rajoitetun riskin järjestelmät

Rajoitetun riskin järjestelmissä korostuvat läpinäkyvyysvaatimukset.

Käyttäjän tulee tietää, milloin hän on vuorovaikutuksessa tekoälyn kanssa. Lisäksi esimerkiksi deepfake-sisällöt tulee merkitä selkeästi.

Minimaalisen riskin järjestelmät

Valtaosa nykyisistä tekoälysovelluksista kuuluu tähän luokkaan.

Näille ei aseteta erityisiä AI Act -velvoitteita, mutta muuta lainsäädäntöä, kuten GDPR:ää, on edelleen noudatettava.

Miten ChatGPT ja muut kielimallit kuuluvat sääntelyn piiriin?

Lopullinen EU AI Act sisältää oman sääntelykokonaisuutensa yleiskäyttöisille tekoälymalleille.

Näitä ovat esimerkiksi ChatGPT, Claude, Gemini ja muut laajasti eri käyttötarkoituksiin soveltuvat mallit.

Näiden mallien tarjoajien tulee muun muassa:

  • kuvata mallien koulutusdataa
  • huomioida tekijänoikeusvelvoitteet
  • dokumentoida mallien ominaisuuksia
  • lisätä läpinäkyvyyttä mallien toimintaan

Avoimen lähdekoodin mallit ovat monilta osin kevyemmän sääntelyn piirissä, mutta mahdolliset systeemiriskin mallit muodostavat poikkeuksen.

Mitä EU AI Act tarkoittaa ohjelmistokehitysprojekteille?

Merkittävin käytännön muutos on se, että compliance ei ole enää projektin loppuvaiheen tarkistuslista.

Riskiluokittelu tulee tehdä jo suunnitteluvaiheessa ennen varsinaisen kehitystyön aloittamista. Tämä vaikuttaa suoraan arkkitehtuuriin, dokumentointiin ja järjestelmän hallintamalleihin.

Käytännössä esimerkiksi seuraavat ominaisuudet voivat olla pakollisia:

  • tapahtumalokitus
  • auditointimahdollisuudet
  • päätöksenteon jäljitettävyys
  • ihmisen mahdollisuus puuttua järjestelmän toimintaan
  • riskienhallintaprosessit

Toisin sanoen sääntelyä ei voi lisätä järjestelmään jälkikäteen ilman merkittäviä kustannuksia.

Mitkä ovat EU AI Actin sanktiot?

EU AI Act sisältää huomattavia seuraamuksia sääntelyn rikkomisesta.

Vakavimmissa tapauksissa sakot voivat olla jopa:

  • 35 miljoonaa euroa tai
  • 7 prosenttia yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta

Tämän vuoksi tekoälyn hallinta ei ole pelkästään juridinen kysymys, vaan myös liiketoimintariskien hallintaa.

Miksi EU loi AI Actin?

Tekoälyn nopea kehitys on tuonut merkittäviä mahdollisuuksia, mutta samalla uusia riskejä.

Sääntelyn tavoitteena on:

  • suojella perusoikeuksia
  • vähentää syrjinnän riskiä
  • lisätä läpinäkyvyyttä
  • parantaa turvallisuutta
  • luoda yhtenäiset pelisäännöt koko EU-alueelle

Samalla Euroopan unioni pyrkii rakentamaan kilpailuetua luotettavan ja vastuullisen tekoälyn kehittäjänä.

Usein kysytyt kysymykset EU AI Actista

Milloin EU AI Act tulee voimaan?

EU AI Act tuli voimaan elokuussa 2024. Sen velvoitteet astuvat voimaan vaiheittain vuosien 2025–2027 aikana.

Koskeeko EU AI Act ChatGPTä?

Kyllä. Yleiskäyttöiset tekoälymallit kuuluvat sääntelyn piiriin ja niille on asetettu omia läpinäkyvyys- ja dokumentointivaatimuksia.

Miten EU AI Act vaikuttaa ohjelmistokehitykseen?

Riskiluokittelu, dokumentaatio, lokitus, läpinäkyvyys ja ihmisen valvonta tulee huomioida jo järjestelmän suunnitteluvaiheessa.

Mikä on suuririskinen tekoälyjärjestelmä?

Suuririskisiä ovat esimerkiksi rekrytointiin, luottopäätöksiin, koulutukseen tai kriittiseen infrastruktuuriin liittyvät tekoälyratkaisut.

Yhteenveto: mitä kehittäjän kannattaa tehdä nyt?

EU AI Act muuttaa ohjelmistokehitystä pysyvästi. Keskeinen kysymys ei enää ole vain se, mitä voidaan rakentaa, vaan myös se, mitä saa rakentaa ja millä ehdoilla.

Kehittäjän ja ohjelmistoprojektien vastuuhenkilöiden kannattaa muistaa kolme asiaa:

  • käyttötarkoitus määrittää riskitason
  • riskiluokittelu tehdään ennen kehitystyötä
  • compliance on osa arkkitehtuuria, ei erillinen lisäkerros

Yrityksille, jotka rakentavat tekoälyratkaisuja nyt, EU AI Act ei ole tulevaisuuden asia. Se on jo osa nykypäivän ohjelmistokehitystä.

Tekoälyn käyttöönotto turvallisesti ja AI Act huomioiden

EU AI Act ei tarkoita sitä, että tekoälyhankkeet pitäisi laittaa jäihin. Päinvastoin – oikein toteutettuna sääntely auttaa rakentamaan luotettavampia ja liiketoiminnalle kestävämpiä ratkaisuja.

Compile auttaa yrityksiä tunnistamaan tekoälyn hyödyntämismahdollisuudet, arvioimaan käyttötapausten riskitasot sekä rakentamaan tekoälyratkaisuja, joissa tietoturva, tietosuoja ja sääntelyvaatimukset on huomioitu alusta lähtien.

Suunnittelemme ja toteutamme tekoälyä hyödyntäviä järjestelmiä osana liiketoimintaprosesseja niin, että ratkaisut ovat sekä käytännössä toimivia että tulevaisuuden sääntelyvaatimusten mukaisia. Tarvittaessa autamme myös arvioimaan olemassa olevien järjestelmien AI Act -vaikutuksia ja tunnistamaan mahdolliset kehityskohteet ennen uusien velvoitteiden voimaantuloa.

 
 

Harkitsetteko tekoälyn hyödyntämistä liiketoiminnassanne?

Ota yhteyttä Compileen, niin arvioidaan yhdessä, miten ratkaisu voidaan toteuttaa turvallisesti, tehokkaasti ja EU AI Actin vaatimukset huomioiden.

varaa konsultointivartti

Onko teillä käynnissä tai suunnitteilla hanke, jossa turvallisuus ja ohjelmistokehitys kohtaavat?  

Jos työskentelet puolustus- tai turvallisuussektorin parissa ja etsit teknologiaosaajaa, joka ymmärtää vaatimusten tason ja yhteistyön merkityksen – keskustellaan. Compile on valmis viemään projekteja eteenpäin, myös kansainvälisillä areenoilla. 

Ota yhteyttä täältä tai varaa napista konsultointivartti!

varaa konsultointivartti

Juha Karjalainen
asiakkuudet & julkishallinto

Puh. 0400 855 846
juha.karjalainen@compile.fi