EU AI Act pentru companiile din România: obligații și pași concreți

Publicat: 9 iunie 2026 · Actualizat: 10 iunie 2026

Multe companii din România tratează EU AI Act ca pe o problemă de mâine. Calendarul spune altceva: o parte dintre obligații se aplică deja din 2 februarie 2025, iar etapa mare de aplicare vine pe 2 august 2026. Ghidul de față îți arată ce te privește concret, în funcție de rolul pe care îl ai și de sistemele pe care le folosești, fără panică și fără jargon juridic inutil.

Guvernanța nu este frână juridică. Este disciplină de operare: cine decide, după ce criterii, cu ce evidențe. Companiile care o tratează așa transformă conformitatea într-un avantaj în fața clienților și a partenerilor.

Pe cine privește: furnizor sau utilizator?

Regulamentul împarte responsabilitatea după rol. Furnizorul (provider) dezvoltă un sistem AI sau îl pune pe piață sub numele lui. Utilizatorul (deployer) folosește un sistem AI în activitatea profesională: un chatbot pentru clienți, un tool de screening la angajare, un sistem de scoring.

Majoritatea companiilor din România sunt utilizatori, nu furnizori. Vestea bună: obligațiile utilizatorului sunt mai puține. Vestea care cere atenție: ele există și pentru tine, chiar dacă doar folosești tooluri cumpărate, iar în anumite situații poți deveni furnizor fără să îți propui, de exemplu dacă rebranduiești un sistem AI sau îl modifici substanțial.

Calendarul aplicării: ce e în vigoare și ce urmează

• 1 august 2024: regulamentul a intrat în vigoare. De aici curg termenele de mai jos.
• 2 februarie 2025, deja aplicabil: interdicțiile pentru practicile cu risc inacceptabil (de exemplu social scoring, manipulare prin tehnici subliminale, anumite forme de recunoaștere a emoțiilor la locul de muncă) și obligația de AI literacy: personalul care lucrează cu AI trebuie să aibă un nivel suficient de înțelegere.
• 2 august 2025, deja aplicabil: obligațiile pentru modelele de AI de uz general (GPAI) și cadrul de guvernanță și sancțiuni.
• 2 august 2026: aplicarea generală a regulamentului: obligațiile de transparență pentru sisteme precum chatboții, cadrul de guvernanță și sancțiunile devin aplicabile. Pentru obligațiile sistemelor cu risc ridicat din Anexa III, vezi nota despre Digital Omnibus de mai jos.
• 2 august 2027: termenul extins pentru sistemele cu risc ridicat integrate în produse reglementate (Anexa I).

O notă de context, actualizată: pe 7 mai 2026, Consiliul și Parlamentul European au ajuns la un acord politic provizoriu pe pachetul Digital Omnibus, care amână obligațiile pentru sistemele cu risc ridicat din Anexa III până pe 2 decembrie 2027 (iar pentru produsele reglementate din Anexa I, până în august 2028), în așteptarea adoptării formale. Obligațiile deja în vigoare nu sunt afectate: interdicțiile, AI literacy și regulile pentru modelele de uz general rămân aplicabile, iar transparența, cadrul de guvernanță și sancțiunile intră în vigoare pe 2 august 2026.

Dacă citești ghidul în 2026, concluzia practică e simplă: interdicțiile și AI literacy te privesc deja, transparența și sancțiunile vin pe 2 august 2026, iar pentru risc ridicat ai câștigat timp până în decembrie 2027. Timpul acela se folosește pentru inventar și clasificare, nu pentru amânare: sistemele contractate în 2026 vor trăi și după toate termenele.

Categoriile de risc, pe înțelesul businessului

1. Risc inacceptabil: practici interzise complet. Exemple: social scoring de către autorități, manipularea comportamentului prin tehnici subliminale, exploatarea vulnerabilităților. Aici răspunsul e simplu: nu.
2. Risc ridicat: sisteme folosite în domenii sensibile, de exemplu recrutare și management al angajaților, acces la servicii esențiale, credit scoring, educație, infrastructuri critice. Aici se concentrează cele mai multe obligații.
3. Risc limitat: obligații de transparență. Utilizatorul trebuie să știe că interacționează cu un AI, iar conținutul generat sau manipulat (de exemplu deepfake) trebuie marcat.
4. Risc minim: marea majoritate a aplicațiilor, de la filtre de spam la recomandări de produse. Fără obligații noi, dar bunele practici rămân bune practici.

Întrebarea utilă pentru tine nu este "ce e AI-ul în general", ci: în ce categorie intră fiecare sistem pe care îl folosești sau îl construiești?

Exemple concrete: unde intră sistemele uzuale?

Câteva încadrări tipice, ca să îți calibrezi inventarul (fiecare caz real cere verificare pe criteriile regulamentului):

• Chatbot de suport pentru clienți: de regulă risc limitat; obligația principală e transparența, clientul știe că vorbește cu un AI.
• Screening de CV-uri sau evaluarea angajaților: risc ridicat; aici intri în setul complet de obligații pentru utilizatori.
• Credit scoring sau evaluarea accesului la servicii esențiale: risc ridicat.
• Filtru de spam, recomandări de produse, corectură automată: risc minim; fără obligații noi.
• Generare de conținut marketing cu tooluri publice: obligații de transparență pentru conținutul generat în situațiile prevăzute, plus AI literacy pentru cei care le folosesc.
• Monitorizarea emoțiilor angajaților la locul de muncă: în formele vizate de regulament, practică interzisă.

Aceeași unealtă poate intra în categorii diferite în funcție de utilizare: un model generativ folosit la marketing e una, același model folosit la decizii de angajare e cu totul altceva. Clasifici utilizarea, nu logo-ul.

Ce obligații ai dacă doar folosești AI

Pentru sistemele cu risc ridicat, utilizatorul are obligații proprii, printre care:

• folosești sistemul conform instrucțiunilor furnizorului;
• asiguri supraveghere umană competentă: cineva înțelege sistemul și poate interveni;
• te asiguri că datele de intrare pe care le controlezi sunt relevante pentru scopul sistemului;
• monitorizezi funcționarea și informezi furnizorul când apar probleme;
• păstrezi logurile generate de sistem, atât cât le ai sub control;
• informezi angajații și reprezentanții lor înainte să folosești un sistem cu risc ridicat la locul de muncă.

Pentru chatboți și conținut generat, regula de transparență e simplă: oamenii trebuie să știe că vorbesc cu un AI, iar conținutul generat trebuie marcat corespunzător în situațiile prevăzute.

AI literacy: obligația care e deja în vigoare

Articolul 4 cere ca personalul care lucrează cu sisteme AI să aibă un nivel suficient de alfabetizare AI: să înțeleagă ce poate și ce nu poate sistemul, ce riscuri aduce și cum se folosește corect. Obligația se aplică din 2 februarie 2025 atât furnizorilor, cât și utilizatorilor.

În practică, asta înseamnă un program intern proporțional cu utilizarea: cine lucrează cu AI, pe ce sisteme, ce trebuie să știe fiecare rol și cum dovedești că s-a întâmplat. Un training generic bifat o dată nu acoperă spiritul obligației; utilizarea reală, documentată, da.

Sancțiunile, ca să știi miza

Amenzile pot ajunge până la 35 de milioane EUR sau 7% din cifra de afaceri globală anuală pentru practicile interzise, și până la 15 milioane EUR sau 3% pentru încălcarea altor obligații. Pentru companiile mici și mijlocii se aplică plafonul mai mic dintre cele două valori. Miza reală nu e doar amenda: e încrederea clienților și a partenerilor, plus blocajele operaționale când descoperi târziu că un sistem trebuia documentat altfel.

Pașii concreți, în ordine

1. Fă inventarul sistemelor AI: tot ce folosește compania, de la tooluri cumpărate la scripturi interne. Fără inventar, orice discuție de conformitate e teorie.
2. Stabilește rolul pentru fiecare sistem: ești utilizator sau, pentru unele, chiar furnizor?
3. Clasifică după risc: interzis, ridicat, limitat, minim. Documentează raționamentul.
4. Numește un responsabil: o persoană care răspunde de guvernanța AI, cu mandat real. Dacă boardul te întreabă mâine cine răspunde de AI, ai un nume.
5. Pornește programul de AI literacy: proporțional, pe roluri, cu evidență.
6. Pune disciplina minimă de operare: instrucțiuni de utilizare, supraveghere umană desemnată, loguri păstrate, canal de raportare a incidentelor.
7. Verifică contractele cu furnizorii: cine ce garantează, ce documentație primești, ce se întâmplă la incident.
8. Reevaluează periodic: sistemele se schimbă, utilizarea se schimbă, clasificarea poate să se schimbe.

Ghidul este orientativ și nu reprezintă consultanță juridică. Pentru situația ta concretă, echipa noastră include un consultant juridic care a văzut negocierile EU AI Act din interior, la Renew Europe.

Întrebări frecvente

Se aplică EU AI Act și companiilor mici?

Da. Regulamentul nu exceptează IMM-urile de la obligații, ci prevede măsuri de sprijin și sancțiuni proporționale. Obligațiile tale depind de rol și de riscul sistemelor folosite, nu de mărimea companiei.

Folosim doar ChatGPT și Copilot. Ne privește?

Da, cel puțin pe două planuri: obligația de AI literacy pentru personalul care le folosește, deja în vigoare, și regulile de transparență pentru conținutul generat. În plus, ai nevoie de o politică internă clară: ce date au voie angajații să introducă în aceste tooluri.

Ce riscăm dacă nu facem nimic până pe 2 august 2026?

Pentru practicile interzise, sancțiunile se aplică deja. Pentru restul, expunerea crește odată cu aplicarea generală: amenzi de până la 15 milioane EUR sau 3% din cifra de afaceri pentru încălcarea obligațiilor, plus riscul comercial în relația cu clienții care îți cer dovezi de conformitate.

De unde începem, practic?

De la inventar și clasificare: ce sisteme AI folosești și în ce categorie de risc intră fiecare. Apoi numești responsabilul și pornești AI literacy. Primele trei acțiuni costă timp, nu bugete mari, și îți arată dimensiunea reală a subiectului pentru compania ta.

Avem nevoie de un AI Officer dedicat?

Regulamentul nu impune un rol cu acest nume, dar cere ca cineva să răspundă efectiv de supravegherea umană și de disciplina de operare. La companiile mici, rolul poate fi purtat de cineva existent, cu mandat scris; important e ca răspunderea să fie asumată, nu difuză.

Surse

• Regulamentul (UE) 2024/1689, textul oficial pe EUR-Lex
• Comisia Europeană: cadrul de reglementare pentru AI
• Comisia Europeană: AI literacy