AI Act: Digital Omnibus a adus o amânare pentru riscul ridicat, dar obligația de AI Literacy este deja aici.

EU AI Act e tratat ca un mit de către directorii de IMM

AI Act e pentru corporații. E ceva ce vom rezolva mai târziu. România oricum nu e pregătită să aplice nimic.

Toate trei sunt false.

AI Act (Regulamentul UE 2024/1689) a intrat în vigoare pe 1 august 2024 și se aplică direct în toate statele membre, fără să necesite o lege de transpunere separată. Prima obligație substanțială, cea privind AI literacy pentru angajați (Articolul 4), este activă din 2 februarie 2025.

Termenul de 2 august 2026, adică peste aproximativ 3 luni, marchează aplicarea completă pentru cea mai mare parte din obligații, inclusiv amenzile pentru sistemele cu risc ridicat. Dacă firma ta folosește AI în recrutare, evaluarea angajaților sau relația cu clienții, nu mai e timp de așteptat.

Ce înseamnă AI Act pentru un IMM care nu produce AI

Nu trebuie să construiești modele AI ca să fii vizat. Regulamentul reglementează pe oricine folosește sisteme AI în activitate profesională.

Dacă angajații tăi folosesc ChatGPT, Gemini, Copilot, Claude sau Grok pentru a redacta emailuri, dacă ai un CRM cu funcții de scoring pentru clienți, dacă ai implementat un chatbot pe site sau folosești un tool HR cu componentă predictivă pentru selecția candidaților, ești considerat deployer și ai obligații concrete.

Avocatul specializat în tehnologie Marius Stanciu a declarat pentru Digi24 că sunt vizați inclusiv cei care „folosesc ChatGPT pentru a filtra CV-uri, un algoritm care evaluează performanța angajaților sau un chatbot care răspunde clienților."

Regulamentul clasifică toate aceste sisteme pe 4 niveluri de risc:

• Risc inacceptabil, deci interzis. Sisteme de scoring social al persoanelor, manipulare subliminală, supraveghere biometrică în timp real în spații publice. Marea majoritate a IMM-urilor nu operează astfel de sisteme, însă dacă ai, totuși, recunoaștere facială pentru controlul accesului la birou, merită verificat în detaliu.
• Risc ridicat. Sisteme folosite în recrutare și selecție de personal, evaluarea angajaților, scoring de credit, acces la servicii de bază. Conform Articolului 6 și Anexei III din AI Act, orice tool AI care influențează decizii de angajare sau evaluare a performanței intră automat aici. Obligațiile sunt semnificative și termenul e august 2026.
• Risc limitat. Chatboți care interacționează cu clienții sau publicul. Obligația principală e transparența. Utilizatorul trebuie să știe că vorbește cu un sistem AI, nu cu un om.
• Risc minim. Filtre de spam, sisteme de recomandare de conținut, instrumente de productivitate generală. Fără obligații speciale, deși o politică internă de utilizare rămâne o bună practică.

Ce e deja activ și ce urmează în august

Cel mai mare risc pentru IMM-uri e ignoranța față de ce este deja în vigoare.

Din 2 februarie 2025, aplicabil acum: obligația de AI literacy (Articolul 4) cere oricărei companii care folosește AI să asigure un nivel suficient de competențe pentru angajați, adaptat rolului fiecăruia. Și, foarte important, să poată demonstra asta cu documentație. Nu e suficient să spui că echipa știe să folosească AI. Trebuie dovezi:

• training documentat,
• politică internă,
• orice formă de înregistrare formală.

Tot din această dată sunt active interdicțiile pentru practicile din categoria risc inacceptabil.

Deși inițial data de 2 august 2026 era termenul general pentru celelalte prevederi EU AI Act, regulamentul Digital Omnibus (adoptat pe 7 mai 2026) oferă o perioadă de grație suplimentară pentru sistemele de risc ridicat deja în funcțiune. Dacă firma ta folosește un tool de recrutare implementat înainte de august 2026, ai acum timp până la 31 decembrie 2027 să finalizezi documentația complexă (managementul riscului, guvernanța datelor). Însă, pentru orice chatbot (risc limitat), obligația de transparență rămâne activă conform cu planul inițial, adică din august 2026.

Obligațiile de transparență pentru conținut generat AI (Articolul 50): dacă produci conținut comercial sau de marketing cu AI, trebuie marcat clar ca atare. Amenzile devin aplicabile, cu valori de până la 35 de milioane EUR sau 7% din cifra de afaceri globală pentru încălcările grave.

O nuanță importantă pentru contextul românesc

Guvernul român a desemnat ANCOM ca autoritate națională de supraveghere printr-un memorandum din 12 martie 2026, cu 7 luni întârziere față de termenul european stabilit pentru august 2025. Cu toate acestea, absența unor proceduri naționale pe deplin operaționale nu suspendă obligația de conformitate a companiilor. Regulamentul se aplică direct, însă cu termenele diferențiate pe care le-am menționat mai sus. Obligația angajatorilor de a oferi training de AI Literacy, de pildă, rămâne valabilă încă din februarie 2025, iar începând din 2 august 2026 lipsa acestor programe de formare îți poate aduce și amenzi.

3 pași pe care îi poți face săptămâna aceasta

1. Fă inventarul sistemelor AI din firmă
Înainte de orice altceva, știi exact ce AI folosești? Fă o listă completă: ce tool-uri folosesc HR-ul, marketing-ul, vânzările, suportul? Ce funcții AI sunt activate în CRM-ul sau ERP-ul tău? Există shadow AI, instrumente pe care angajații le folosesc din proprie inițiativă, fără o politică internă?

Studiul realizat de Upvance în octombrie 2025 arată că 83% dintre angajații români foloseau instrumente AI chiar dacă ele nu erau reglementate de companie. Un raport SecurePrivacy din februarie 2026 estimează că peste jumătate din organizații nu au un inventar sistematic al sistemelor AI pe care le operează. Fără inventar, orice demers de conformitate e construit pe nisip.

Soluția: o sesiune de 60–90 de minute cu echipa de management, în care fiecare departament listează tool-urile AI folosite în mod regulat. Simplu, gratuit și obligatoriu ca punct de plecare.

2. Documentează AI literacy pentru echipă
Articolul 4 e în vigoare. Obligația cere să demonstrezi că angajații au un nivel suficient de competențe pentru rolul lor și că ai luat măsuri concrete în acest sens. Un training documentat, chiar și intern, contează. Un workshop de 2 ore cu un document de participare semnat contează. O politică scrisă de utilizare a AI în firmă contează.

Ce înseamnă acest nivel suficient în practică? Angajatul trebuie să știe ce tool-uri AI folosește în muncă, ce limitări au acestea și când să nu se bazeze pe output-ul AI fără verificare umană. Dacă firma ta nu are nicio documentație de training pe AI, prioritatea imediată e să înregistrezi formal ce faci deja și să completezi ce lipsește.

3. Clasifică și decide ce necesită atenție urgentă
Dacă folosești AI în HR, vestea bună este că ai un calendar extins de implementare, până la finalul lui 2027. Totuși, acest timp este oferit pentru a construi proceduri solide, așa că folosește-l pentru a cere furnizorilor de software dovezi de conformitate.

Dacă folosești AI doar pentru productivitate internă (redactare, rezumare, suport în decizii generale), ești în zona de risc minim sau limitat. Obligațiile sunt mult mai ușoare: o politică de utilizare internă și, dacă ai chatbot pe site, o mențiune vizibilă că e un sistem AI.

Diferența dintre cele 2 scenarii e uriașă ca efort și cost. De aceea, inventarul vine primul. Clasificarea urmează. Acțiunea vine din clasificare.

De ce contează dincolo de amenzi

Cel mai vizibil risc e amenda. Dar pentru un IMM care lucrează cu parteneri mari din UE, riscul operațional vine mai devreme.

Companiile din Germania sau Franța care lucrează cu furnizori din România vor cere din ce în ce mai des dovezi de utilizare responsabilă a AI, la fel cum cer astăzi dovezi GDPR sau politici de securitate a datelor. Firmele care vor putea demonstra asta vor câștiga contracte. Cele care vor pierde timp explicând de ce nu au tratat subiectul serios vor pierde altceva.

Conformitatea cu AI Act e și un argument comercial.

Dacă vrei să vedem împreună unde se află firma ta față de aceste obligații și ce e urgent față de ce poate aștepta, scrie-mi.

LE: Actualizat la 8 mai 2026, după adoptarea oficială a Digital Omnibus.