Kada je Europska unija usvojila Zakon o umjetnoj inteligenciji, bilo je jasno da se njegov regulatorni učinak neće dogoditi odjednom. AI Act se primjenjuje postupno, kroz više faza, a dio pravila već je stupio na snagu, osobito ona koja se odnose na zabranjene AI prakse i osnovnu AI pismenost. No tvrdnja da su europski regulatori već izrekli prve službene kazne prema AI Actu za visokorizične sustave u zapošljavanju i financijskim uslugama zasad nije potvrđena. Preciznije je reći da se tržište nalazi u prijelaznoj fazi: regulatorni okvir postoji, dio obveza već vrijedi, ali se ključni mehanizmi nadzora, klasifikacije i provedbe još uvijek uspostavljaju.
Zbog toga je važno izbjegavati tvrdnje o koordiniranim inspekcijama, prvim kaznama i nalozima za povlačenje aplikacija s tržišta ako za njih ne postoje javno dostupne odluke nadležnih tijela. Ono što se može reći jest da će sustavi koji utječu na zapošljavanje, obrazovanje, pristup financijskim uslugama, biometriju, migracije, kritičnu infrastrukturu i rad javnih tijela biti među najosjetljivijim područjima primjene AI Acta. U tim sektorima AI sustavi neće smjeti biti samo tehnički učinkoviti, nego će morati biti dokumentirani, nadzirani, testirani, objašnjivi u mjeri potrebnoj za konkretnu primjenu i usklađeni s pravilima zaštite temeljnih prava.
Europski Zakon o umjetnoj inteligenciji ne počinje se primjenjivati u jednom danu, nego u fazama. Prve važne odredbe, koje se odnose na definiciju AI sustava, osnovnu AI pismenost i ograničen skup zabranjenih praksi, počele su se primjenjivati 2. veljače 2025. Time su obuhvaćeni najosjetljiviji oblici uporabe umjetne inteligencije, poput manipulativnih sustava, pojedinih oblika socijalnog bodovanja, određenih oblika biometrijske kategorizacije, prepoznavanja emocija na radnom mjestu i u obrazovanju te dijela prediktivnog policijskog postupanja.
Međutim, početak primjene pojedinih zabrana nije isto što i puna provedba cijelog regulatornog sustava. Europska komisija i nacionalna nadzorna tijela tek uspostavljaju institucionalni i provedbeni okvir koji će u praksi odrediti kako će se AI Act nadzirati, kako će se tumačiti pojedine obveze i kako će se postupati prema tvrtkama koje razvijaju ili koriste visokorizične AI sustave. Zato se u ovom trenutku ne može govoriti o širokom valu kazni prema AI Actu, osobito ne za visokorizične sustave u zapošljavanju, kreditiranju ili drugim osjetljivim područjima.
Za visokorizične AI sustave posebno su važni sektori u kojima algoritamske odluke mogu izravno utjecati na prava građana. U tu skupinu ulaze, među ostalim, sustavi koji se koriste u zapošljavanju, obrazovanju, pristupu kreditima, zdravstvenoj skrbi, kritičnoj infrastrukturi, migracijama, pravosuđu i radu tijela javne vlasti. Takvi sustavi morat će imati jasnu tehničku dokumentaciju, sustav upravljanja rizicima, kvalitetne i reprezentativne podatke, mogućnost nadzora od strane čovjeka, zapise o radu sustava te mehanizme kojima se mogu objasniti odluke koje utječu na pojedince.
Upravo zato zapošljavanje i financijske usluge ostaju među najosjetljivijim područjima primjene umjetne inteligencije. AI alat koji rangira kandidate za posao, filtrira životopise ili predlaže koga pozvati na razgovor može biti problematičan ako reproducira postojeće društvene pristranosti ili ako poslodavac ne može objasniti zašto je određeni kandidat odbijen. Slično vrijedi i za sustave koji procjenjuju kreditnu sposobnost, određuju pristup osiguranju ili utječu na uvjete financijske usluge. U tim slučajevima nije dovoljno da model bude tehnički učinkovit; morat će biti dokumentiran, nadziran, testiran na pristranost i razumljiv onima na koje njegove odluke utječu.
Europska komisija je u svibnju 2026. otvorila ciljano savjetovanje o nacrtu smjernica za klasifikaciju visokorizičnih AI sustava. Te smjernice trebale bi pomoći developerima, korisnicima AI sustava, javnim institucijama i nadzornim tijelima da utvrde spada li pojedini AI sustav u visokorizičnu kategoriju. To je važno jer velik dio tržišta još uvijek nema jasnu granicu između običnih automatiziranih alata, generativnih AI servisa i sustava koji imaju izravan učinak na temeljna prava, sigurnost ili pristup ključnim uslugama.
Dodatnu složenost donosi i promijenjeni vremenski okvir provedbe. Prema političkom dogovoru o pojednostavljenju provedbe digitalnih propisa, dio pravila za visokorizične sustave trebao bi dobiti kasniji rok primjene. Za samostalne visokorizične AI sustave, koji uključuju područja poput biometrije, obrazovanja, zapošljavanja, migracija, azila i nadzora granica, novi krajnji rok veže se uz 2. prosinca 2027. Za AI sustave ugrađene u regulirane proizvode, primjerice dizala, igračke ili druge proizvode obuhvaćene sektorskim sigurnosnim pravilima, rok se veže uz 2. kolovoza 2028. To tržištu daje više vremena za prilagodbu, ali ne mijenja osnovni smjer regulacije: AI sustavi koji mogu imati ozbiljan učinak na ljude morat će biti dokazivo sigurni, nadzirani i usklađeni.
Europska komisija istodobno jača institucionalni okvir za provedbu. Početkom lipnja 2026. imenovani su Znanstveni panel i Savjetodavni forum koji će podupirati provedbu AI Acta. Znanstveni panel okuplja neovisne stručnjake za napredne AI modele, tehničke audite, sistemske rizike i tržišni nadzor, dok Savjetodavni forum uključuje predstavnike akademske zajednice, civilnog društva, industrije, malih i srednjih poduzeća te startupa. Njihova uloga nije izricanje kazni, nego stručna potpora Europskom uredu za umjetnu inteligenciju i nacionalnim nadzornim tijelima.
Za kompanije je zato najvažnija poruka da se priprema za AI Act ne smije svesti na čekanje prve kazne. Prvi regulatorni pritisak vjerojatno će se vidjeti kroz zahtjeve za dokumentacijom, internim evidencijama, objašnjenjem načina rada sustava, procjenama rizika i dokazima o ljudskom nadzoru. Posebno će osjetljive biti organizacije koje koriste AI u ljudskim resursima, financijskim odlukama, korisničkom profiliranju, javnim uslugama ili upravljanju sigurnosno važnim procesima.
Kazneni okvir ostaje vrlo ozbiljan. Za kršenje zabrana iz AI Acta propisane su kazne do 35 milijuna eura ili do 7 posto ukupnog godišnjeg svjetskog prometa, ovisno o tome koji je iznos viši. Za druge obveze, uključujući dio pravila za visokorizične sustave, kazne mogu dosegnuti 15 milijuna eura ili 3 posto ukupnog godišnjeg svjetskog prometa. No u ovom trenutku preciznije je govoriti o ulasku u fazu regulatorne pripreme, izgradnje nadzornih kapaciteta i usklađivanja tržišta, a ne o već započetom valu kazni prema AI Actu.
To ne znači da u Europi nema regulatornih postupaka povezanih s umjetnom inteligencijom. Naprotiv, posljednjih godina izrečene su važne kazne koje se odnose na AI sustave, biometriju, automatiziranu obradu podataka i digitalne usluge. Međutim, te kazne nisu izrečene prema AI Actu, nego uglavnom prema GDPR-u i pravilima o zaštiti osobnih podataka. Upravo to razlikovanje ključno je za točno razumijevanje europske regulacije: AI Act tek gradi poseban režim za umjetnu inteligenciju, dok se dio najosjetljivijih slučajeva već sada rješava kroz postojeće propise o privatnosti i zakonitoj obradi podataka.
Jedan od najvažnijih primjera je Clearview AI, američka kompanija koja je razvila bazu podataka za prepoznavanje lica. Nizozemsko tijelo za zaštitu podataka kaznilo je tu kompaniju s 30,5 milijuna eura zbog nezakonite obrade biometrijskih podataka, uz dodatni nalog koji može dovesti do nove kazne u slučaju neusklađenosti. Francuski CNIL ranije je Clearview AI-ju izrekao kaznu od 20 milijuna eura prema GDPR-u, također zbog obrade biometrijskih podataka i nepoštovanja prava osoba čiji su podaci obrađivani. Ti slučajevi nisu provedba AI Acta, ali jasno pokazuju zašto će biometrija biti jedno od najosjetljivijih područja europske regulacije umjetne inteligencije.
Važan je i slučaj tvrtke Luka Inc., koja stoji iza chatbota Replika. Talijansko tijelo za zaštitu osobnih podataka izreklo je toj kompaniji kaznu od 5 milijuna eura zbog povreda više odredbi GDPR-a, uključujući pitanja zakonitosti, transparentnosti, minimizacije podataka, odgovornosti i ugrađene zaštite podataka. Taj slučaj pokazuje da emocionalni chatbotovi, generativni AI servisi i digitalni asistenti nisu izvan dosega regulatora, čak i kada se ne primjenjuje AI Act. Ako sustav obrađuje osobne podatke, komunicira s ranjivim skupinama ili nema dovoljno jasne mehanizme informiranja korisnika, regulatorni rizik već postoji.
Slučaj OpenAI-ja treba navoditi posebno oprezno. Talijanski regulator je krajem 2024. izrekao kaznu od 15 milijuna eura zbog navodnih povreda GDPR-a povezanih s obradom osobnih podataka u ChatGPT-u, ali je sud u Rimu u ožujku 2026. tu kaznu poništio. Zato taj slučaj više nije dobro koristiti kao aktualni primjer potvrđene i važeće novčane kazne protiv OpenAI-ja, nego kao primjer regulatornog postupka i sudskog osporavanja u području umjetne inteligencije i zaštite podataka.
Zaključno, temeljna poruka je drukčija od one koja se često pojavljuje u pojednostavljenim interpretacijama AI Acta. Europska unija još nije ušla u razdoblje masovnog kažnjavanja prema tom zakonu, ali jest ušla u razdoblje u kojem kompanije više ne mogu ignorirati regulatornu pripremu. Organizacije koje koriste umjetnu inteligenciju u ljudskim resursima, financijskim odlukama, javnim uslugama, biometriji, sigurnosno važnim procesima ili profiliranju korisnika morat će znati koje sustave koriste, s kojim podacima rade, tko ih nadzire, kako se dokumentiraju odluke i mogu li dokazati da sustav ne proizvodi neprihvatljiv rizik za građane.
AI Act zato ne treba promatrati samo kroz pitanje kada će pasti prva kazna. Njegov stvarni učinak bit će vidljiv u tome hoće li kompanije moći dokazati da razumiju vlastite AI sustave, da njima upravljaju odgovorno i da rizike ne prebacuju na korisnike, zaposlenike, kandidate za posao ili građane. To je promjena koja neće pogoditi samo velike tehnološke kompanije, nego i banke, osiguravatelje, poslodavce, javne institucije, pružatelje digitalnih usluga i sve organizacije koje automatizirane odluke uvode u procese koji imaju stvarne posljedice za ljude.
Najvažniji dosadašnji slučajevi dolaze iz područja zaštite osobnih podataka i biometrije. Talijanski regulator kaznio je OpenAI s 15 milijuna eura zbog povreda GDPR-a povezanih s obradom podataka u ChatGPT-u, dok je tvrtka Luka Inc., poznata po chatbotu Replika, kažnjena s 5 milijuna eura. Posebno je značajan slučaj Clearview AI-ja, koji je u Nizozemskoj kažnjen s 30,5 milijuna eura zbog nezakonite baze za prepoznavanje lica, uz mogućnost dodatne kazne, a ranije je i francuski CNIL toj kompaniji izrekao kaznu od 20 milijuna eura. Ti slučajevi nisu kazne prema AI Actu, ali jasno pokazuju smjer europske provedbe: umjetna inteligencija se već nadzire kroz GDPR, pravila o biometriji, transparentnosti i zakonitoj obradi podataka, dok će AI Act taj nadzor dodatno proširiti i precizirati kroz poseban režim za zabranjene i visokorizične AI sustave.
