AI Act in Romania: Ce Trebuie sa Faci Tehnic Pana in August 2026
Cuprins
Am construit sisteme AI in productie care proceseaza mii de cereri zilnic. Am implementat agenti AI autonomi care iau decizii fara interventie umana. Am antrenat modele custom pe date specifice domeniului. Si am analizat riscurile de securitate ale agentilor AI cand 341 de skill-uri malitioase au fost descoperite in marketplace-ul OpenClaw.
Toate aceste sisteme intra sub incidenta AI Act din 2 august 2026.
Majoritatea ghidurilor despre AI Act sunt scrise de avocati. Sunt corecte juridic, dar nu iti spun CE SA FACI TEHNIC. Nu iti spun cum sa implementezi logging-ul pentru trasabilitate, cum sa adaugi supraveghere umana intr-un pipeline RAG, sau cat costa real conformitatea din perspectiva engineering.
Acest ghid este scris de un CTO cu 16+ ani de experienta care a condus echipe tehnice in 8 companii, inclusiv in industrii reglementate (iGaming, fintech, healthcare). Nu inlocuieste consultanta juridica — ai nevoie de un avocat pentru interpretarea legala. Dar iti spune exact ce trebuie sa faci din punct de vedere tehnic pentru a fi conform pana in august 2026.
Ce Este AI Act si De Ce Te Afecteaza Ca Lider Tehnic
AI Act (Regulamentul UE 2024/1689) este prima legislatie din lume dedicata reglementarii inteligentei artificiale. Nu reglementeaza tehnologia in sine — reglementeaza UTILIZAREA ei.
Asta inseamna ca nu conteaza daca ai construit AI-ul sau doar il folosesti. Daca compania ta foloseste ChatGPT pentru filtrarea CV-urilor, un algoritm care evalueaza performanta angajatilor, sau un chatbot care raspunde clientilor — esti vizat.
Calendar de aplicare
| Data | Ce devine aplicabil |
|---|---|
| Februarie 2025 | Interzicerea sistemelor AI cu risc inacceptabil (scoring social, manipulare subliminal) |
| August 2025 | Reguli pentru modele AI de uz general (GPT, Claude, Gemini) |
| 2 August 2026 | Cele mai multe obligatii — inclusiv pentru sisteme de risc ridicat |
| August 2027 | Obligatii pentru sisteme AI integrate in produse reglementate (medical, auto) |
De ce conteaza pentru tine ca CTO/lider tehnic: tu esti persoana din companie care stie exact ce sisteme AI folositi, cum functioneaza, ce date proceseaza si ce decizii iau. Avocatul iti spune CE trebuie sa faci legal. Tu trebuie sa stii CUM sa implementezi asta tehnic.
Clasificarea Pe Niveluri de Risc: Unde Se Incadreaza Sistemele Tale
Totul in AI Act se invarte in jurul clasificarii pe risc. Ca CTO, trebuie sa clasifici fiecare sistem AI din companie.
Risc Inacceptabil (INTERZIS — deja din februarie 2025)
Aceste sisteme sunt interzise complet in UE:
- Scoring social (clasificarea cetatenilor pe baza comportamentului)
- Manipulare subliminal care exploateaza vulnerabilitati
- Supraveghere biometrica in masa in spatii publice (cu exceptii pentru politie)
- Categorizare biometrica pe baza datelor sensibile (rasa, religie, orientare politica)
Impact practic: Daca nu faci scoring social sau supraveghere biometrica in masa, nu te afecteaza. Dar verifica: daca ai un sistem de recunoastere faciala pentru acces in cladire, consulta un avocat.
Risc Ridicat (Obligatii Stricte — din august 2026)
Aici lucrurile devin serioase. Sistemele AI de risc ridicat au obligatii de conformitate semnificative.
| Domeniu | Exemple concrete | Ce trebuie sa faci |
|---|---|---|
| Recrutare si HR | AI care filtreaza CV-uri, screening candidati, evaluare performanta | Audit, documentare completa, supraveghere umana, transparenta catre candidati |
| Credit scoring | AI care decide acordarea unui credit sau imprumut | Explicabilitate, audit, drept la contestare |
| Educatie | AI care noteaza elevi sau decide admiterea | Supraveghere umana obligatorie |
| Infrastructura critica | AI in retele de energie, transport, apa | Certificare, monitorizare continua |
| iGaming | AI pentru detectie frauda, joc responsabil, recomandari personalizate | Documentare, audit, transparenta |
Obligatii tehnice concrete pentru risc ridicat:
- Sistem de management al riscului — document care identifica riscurile, masurile de mitigare si planul de monitorizare
- Guvernanta datelor — datele de training trebuie sa fie relevante, fara bias, documentate
- Documentatie tehnica completa — arhitectura, date de training, metrici de performanta, limitari cunoscute
- Logging si trasabilitate — trebuie sa poti reconstrui cum a luat AI-ul o decizie
- Transparenta — utilizatorii trebuie informati ca interactioneaza cu AI si cum le afecteaza deciziile
- Supraveghere umana — un om trebuie sa poata verifica, corecta sau anula deciziile AI
- Acuratete, robustete si cybersecurity — sistemul trebuie testat si securizat
Risc Limitat (Obligatii de Transparenta — din august 2026)
Aici intra majoritatea cazurilor de utilizare din companiile romanesti:
| Sistem AI | Obligatia ta |
|---|---|
| Chatboturi (pe site, WhatsApp, Facebook) | Informeaza utilizatorul ca vorbeste cu un AI |
| Generare de continut (texte, imagini, video cu AI) | Marcheaza continutul ca generat de AI |
| Deepfakes si continut audio/video sintetic | Obligatoriu sa declari ca e generat artificial |
| Sisteme de recunoastere a emotiilor | Informeaza persoana ca i se analizeaza emotiile |
Implementare tehnica (15 minute):
- Pe chatbot: adauga mesajul "Sunt un asistent virtual bazat pe inteligenta artificiala. Pentru intrebari complexe, te conectam cu echipa noastra."
- Pe continut generat cu AI: adauga nota "Acest material a fost creat cu asistenta inteligentei artificiale si verificat de echipa noastra."
- In politica de confidentialitate: adauga sectiune despre utilizarea AI
Risc Minim (Zero Obligatii Suplimentare)
Cel mai frecvent caz de utilizare:
- Folosesti ChatGPT, Claude sau Gemini pentru email-uri, oferte, rapoarte
- Folosesti AI pentru analiza datelor de business
- Folosesti AI pentru traduceri sau sumarizari
- Folosesti Canva AI sau Midjourney pentru design
- Folosesti automatizari cu Make.com sau Zapier
Obligatii suplimentare: zero. Poti folosi aceste tool-uri liber.
Clasificarea Tehnica: Unde Se Incadreaza Sistemele AI Pe Care Le Construiesti
Ca CTO care construieste sisteme AI (nu doar le foloseste), clasificarea devine mai nuantata. Hai sa luam exemple concrete.
Sisteme RAG (Retrieval-Augmented Generation)
Un sistem RAG in productie — de exemplu un chatbot care raspunde la intrebari din documentatia companiei — se incadreaza de obicei in risc limitat.
De ce: Sistemul genereaza raspunsuri bazate pe documente, dar nu ia decizii care afecteaza semnificativ viata oamenilor.
Obligatii:
- Informeaza utilizatorul ca vorbeste cu un AI
- Daca sistemul citeaza surse, asigura-te ca citatele sunt corecte
- Logheaza intrebarile si raspunsurile pentru audit
Exceptie importanta: Daca sistemul RAG ia decizii in domenii de risc ridicat (de exemplu, un RAG medical care recomanda tratamente, sau un RAG HR care filtreaza candidati), clasificarea urca la risc ridicat si obligatiile cresc semnificativ.
Agenti AI Autonomi
Agentii AI care actioneaza autonom — executa task-uri, apeleaza API-uri, iau decizii fara interventie umana — sunt zona cea mai complexa din perspectiva AI Act.
Problema: AI Act a fost scris inainte de explozia agentilor AI autonomi (OpenClaw, AutoGen, CrewAI). Regulamentul nu are o categorie specifica pentru agenti autonomi, dar principiile se aplica:
- Daca agentul ia decizii in domenii de risc ridicat — risc ridicat
- Daca agentul interactioneaza cu utilizatori — risc limitat (obligatie de transparenta)
- Daca agentul actioneaza intern fara a afecta persoane — risc minim
Recomandare tehnica pentru agenti AI:
- Kill switches obligatorii (oprire automata la depasirea limitelor)
- Logging complet al tuturor actiunilor
- Aprobari umane pentru actiuni cu impact ridicat
- Sandbox-uri izolate pentru executie
Modele Fine-Tuned
Daca antrenezi modele custom pe datele companiei tale, clasificarea depinde de UTILIZARE, nu de tehnologie:
- Model fine-tuned pentru generare de email-uri de marketing — risc minim
- Model fine-tuned pentru screening CV-uri — risc ridicat
- Model fine-tuned pentru diagnostic medical — risc ridicat
Obligatii suplimentare pentru fine-tuning:
- Documenteaza datele de training (sursa, calitate, bias potential)
- Pastreaza versiunile modelului (model versioning)
- Testeaza pentru bias si discriminare inainte de deployment
Implementare Tehnica: Ce Trebuie Sa Construiesti
1. Sistem de Logging si Trasabilitate
AI Act cere sa poti reconstrui cum a luat AI-ul o decizie. Asta inseamna logging la nivel de productie.
Ce trebuie sa loghezi:
- Input-ul utilizatorului (intrebarea/cererea)
- Contextul furnizat modelului (documentele recuperate in RAG, prompt-ul de sistem)
- Output-ul modelului (raspunsul generat)
- Decizia finala (daca difera de output-ul brut al modelului)
- Timestamp, user ID, session ID
- Versiunea modelului folosit
Cost estimat: 2-5 zile de engineering pentru implementare initiala. $50-200/luna pentru stocare (depinde de volum).
Tool-uri recomandate: Langfuse (open-source, self-hosted), Arize AI, sau un simplu setup cu PostgreSQL + structured logging.
2. Mecanism de Supraveghere Umana
Pentru sisteme de risc ridicat, trebuie sa existe un om care poate verifica, corecta sau anula deciziile AI.
Implementare practica:
- Queue de review — deciziile AI cu scor de incredere sub un prag merg la review uman
- Dashboard de monitorizare — metrici in timp real despre calitatea raspunsurilor
- Buton de override — operatorul uman poate anula orice decizie AI
- Escalare automata — cazurile complexe sunt redirectionate automat catre echipa umana
Cost estimat: 1-2 saptamani de engineering. Depinde de complexitatea sistemului.
3. Documentatie Tehnica
AI Act cere documentatie completa pentru sisteme de risc ridicat. Ca CTO, trebuie sa pregatesti:
Document 1: Fisa Tehnica a Sistemului AI
- Descrierea scopului si functionalitatii
- Arhitectura tehnica (diagrama de componente)
- Datele de training/knowledge base (sursa, volum, calitate)
- Metrici de performanta (acuratete, rata de halucinare, latenta)
- Limitari cunoscute
- Masuri de securitate implementate
Document 2: Evaluarea Riscurilor
- Riscuri identificate (bias, discriminare, erori, securitate)
- Masuri de mitigare pentru fiecare risc
- Plan de monitorizare continua
- Procedura de incident response
Document 3: Registrul AI
- Lista tuturor sistemelor AI din companie
- Clasificarea pe risc pentru fiecare
- Responsabilul desemnat
- Data ultimei evaluari
Cost estimat: 3-5 zile de munca pentru documentatie initiala. Actualizare trimestriala (1 zi).
4. AI Literacy — Obligatia de Training
Articolul 4 din AI Act cere companiilor sa asigure un nivel adecvat de "AI literacy" pentru personalul care lucreaza cu sisteme AI.
Ce inseamna practic:
- Angajatii care folosesc AI trebuie sa inteleaga ce face sistemul, ce limitari are si cand sa intervina
- Nu e nevoie de cursuri formale de machine learning — e nevoie de training practic pe sistemele specifice pe care le folosesc
- Documenteaza training-ul (cine, cand, ce a invatat)
Implementare:
- Creeaza un document intern "Politica de Utilizare AI" (1-2 pagini)
- Organizeaza o sesiune de training de 1-2 ore pentru echipa
- Pastreaza evidenta participantilor
Costul Real al Conformitatii
Nimeni nu vorbeste despre costurile reale. Hai sa le punem pe masa:
Pentru un IMM cu Sisteme AI de Risc Minim/Limitat
| Componenta | Cost | Timp |
|---|---|---|
| Inventarierea sistemelor AI | $0 (intern) | 2 ore |
| Adaugare disclaimere pe chatbot/continut | $0 (intern) | 30 minute |
| Actualizare politica de confidentialitate | $0-500 (avocat optional) | 1 ora |
| Politica interna AI | $0 (intern) | 2 ore |
| Training echipa | $0 (intern) | 2 ore |
| TOTAL | $0-500 | ~1 zi |
Pentru o Companie cu Sisteme AI de Risc Ridicat
| Componenta | Cost | Timp |
|---|---|---|
| Audit tehnic al sistemelor AI | $2,000-10,000 | 1-2 saptamani |
| Implementare logging/trasabilitate | $1,000-5,000 (engineering) | 1-2 saptamani |
| Mecanism supraveghere umana | $2,000-10,000 (engineering) | 2-4 saptamani |
| Documentatie tehnica completa | $1,000-3,000 (intern) | 1-2 saptamani |
| Evaluare bias si discriminare | $1,000-5,000 | 1 saptamana |
| Consultanta juridica | $2,000-5,000 | Ongoing |
| Training echipa | $500-2,000 | 1-2 zile |
| TOTAL | $10,000-40,000 | 2-3 luni |
Perspectiva: Costul conformitatii pentru risc ridicat este semnificativ, dar e o fractiune din amenzile potentiale (pana la 35 milioane EUR sau 7% din cifra de afaceri). Si e o fractiune din costul unui incident de securitate sau discriminare AI care ajunge in presa.
Situatia Romaniei: Ce Trebuie Sa Stii
Intarzierea Institutionala
Romania a ratat termenul de august 2025 pentru desemnarea autoritatilor nationale competente. Abia in martie 2026, Guvernul a adoptat un memorandum care desemneaza:
- ANCOM — autoritate de supraveghere a pietei si punct unic de contact
- ASF si BNR — pentru servicii financiare
- ANSPDCP — pentru domenii sensibile (date personale)
- ADR — autoritate de notificare
Ce inseamna practic: Intarzierea NU te scuteste de obligatii. AI Act se aplica direct, ca regulament european. Dar inseamna ca mecanismele de control si sanctionare nu sunt inca pe deplin operationale in Romania. Asta iti da o fereastra de timp sa te conformezi — dar nu o scuza sa nu o faci.
Aceasta situatie aminteste de criza electorala din 2024, cand lipsa cadrului institutional adecvat a permis exploatarea vulnerabilitatilor tehnologice. In cazul AI Act, lipsa unei autoritati operationale inseamna ca primele controale vor fi probabil mai putin frecvente — dar cand vor veni, vor fi bazate pe standarde europene.
Lipsa Specialistilor
Guvernul a recunoscut oficial lipsa specialistilor in domeniul AI la nivel institutional. ANCOM are expertiza in telecomunicatii, nu in inteligenta artificiala. Asta inseamna ca:
- Controalele vor fi probabil mai putin frecvente in primul an
- Dar cand vor veni, vor fi bazate pe standarde europene, nu pe toleranta locala
- Companiile care se conformeaza timpuriu vor avea un avantaj competitiv clar
Impactul Asupra Locurilor de Munca
AI Act nu este doar despre conformitate tehnica. Are implicatii directe asupra modului in care AI afecteaza locurile de munca. Daca folosesti AI in procesele de HR — filtrare CV-uri, evaluare performanta, decizii de promovare — aceste sisteme intra automat in categoria de risc ridicat.
Asta inseamna ca angajatii si candidatii trebuie informati ca sunt evaluati de un sistem AI, trebuie sa li se explice cum influenteaza AI decizia finala, si trebuie sa aiba dreptul la explicatie si contestare.
Checklist Tehnic de Conformitate
Pana in Iunie 2026 (2 luni ramase)
- Inventariaza toate sistemele AI din companie (tabel: ce sistem, ce face, cine il foloseste, ce date proceseaza)
- Clasifica fiecare sistem pe nivel de risc (minim, limitat, ridicat)
- Adauga disclaimere pe chatboturi si continut generat cu AI (risc limitat)
- Creeaza politica interna AI (1-2 pagini: ce e permis, ce nu, responsabilitati)
- Organizeaza training pentru echipa (1-2 ore, documenteaza participantii)
Pana in August 2026 (pentru sisteme de risc ridicat)
- Implementeaza logging complet (input, context, output, decizie, timestamp)
- Adauga supraveghere umana (queue de review, dashboard, buton de override)
- Pregateste documentatia tehnica (fisa tehnica, evaluare riscuri, registru AI)
- Testeaza pentru bias si discriminare (mai ales in HR si credit scoring)
- Consulta un avocat pentru validarea conformitatii juridice
Ongoing (dupa august 2026)
- Monitorizare continua a performantei sistemelor AI
- Actualizare trimestriala a documentatiei si evaluarii riscurilor
- Re-training echipa la fiecare modificare semnificativa a sistemelor
- Urmareste actualizarile de la ANCOM si Comisia Europeana
Perspectiva CTO: AI Act Nu Este O Problema — Este O Oportunitate
Dupa 16 ani in tech leadership, am vazut GDPR venind. Am vazut panica, am vazut companiile care au ignorat, am vazut amenzile. Aceeasi poveste se repeta cu AI Act.
Dar AI Act nu este un obstacol. Este un set de reguli care, in esenta, cer lucruri pe care orice CTO competent le face deja:
- Logging si monitorizare — faci deja asta pentru debugging si performance
- Documentatie tehnica — faci deja asta (sau ar trebui) pentru onboarding si knowledge transfer
- Supraveghere umana — orice sistem critic are deja escalare catre oameni
- Transparenta — orice produs bun isi informeaza utilizatorii despre cum functioneaza
- Testare pentru bias — orice echipa de ML responsabila face deja asta
Companiile care trateaza AI Act ca pe o oportunitate de a-si pune ordine in sistemele AI vor fi mai competitive, mai de incredere si mai pregatite pentru urmatorul val de reglementari.
Companiile care il ignora vor plati — fie in amenzi, fie in pierderea increderii clientilor, fie in ambele.
Daca ai nevoie de ajutor cu implementarea AI in compania ta, am scris un ghid detaliat de implementare AI pentru companiile romanesti care acopera strategia, instrumentele si pasii concreti.
Ai nevoie de ajutor cu auditul tehnic al sistemelor AI din compania ta sau cu implementarea conformitatii AI Act? Programeaza o consultatie gratuita — evaluez situatia ta specifica si iti recomand pasii concreti, fie ca ai nevoie de un CTO fractionar sau de consultanta punctuala.
Intrebari frecvente
Ce este AI Act si cand devine aplicabil in Romania?
AI Act (Regulamentul UE 2024/1689) este prima legislatie din lume dedicata reglementarii inteligentei artificiale. Se aplica direct in Romania fara a necesita transpunere in legislatia nationala. Cele mai multe obligatii devin aplicabile din 2 august 2026, inclusiv cele pentru sisteme AI de risc ridicat.
Cat costa conformitatea cu AI Act pentru o companie din Romania?
Pentru IMM-uri cu sisteme AI de risc minim sau limitat, costul este aproape zero — cateva ore de munca interna pentru inventariere, disclaimere si politica interna. Pentru companii cu sisteme AI de risc ridicat, costul estimat este intre 10,000 si 40,000 EUR, incluzand audit tehnic, implementare logging, supraveghere umana, documentatie si consultanta juridica.
Folosesc ChatGPT in companie. Trebuie sa ma conformez cu AI Act?
Daca folosesti ChatGPT, Claude sau Gemini ca instrumente interne de productivitate (email-uri, rapoarte, analiza), te incadrezi in risc minim si nu ai obligatii suplimentare. Daca folosesti AI pentru decizii care afecteaza semnificativ oamenii (filtrare CV-uri, credit scoring, evaluare performanta), te incadrezi in risc ridicat si ai obligatii stricte de conformitate.
Ce amenzi prevede AI Act pentru neconformitate?
Amenzile maxime sunt: 35 milioane EUR sau 7% din cifra de afaceri globala pentru practici interzise, 15 milioane EUR sau 3% pentru neconformitate cu obligatiile de risc ridicat, si 7.5 milioane EUR sau 1% pentru informatii false. Pentru IMM-uri, amenzile sunt proportionale cu dimensiunea firmei si se tine cont de efortul de conformitate.
Cine supravegheaza aplicarea AI Act in Romania?
In martie 2026, Guvernul a desemnat ANCOM ca autoritate de supraveghere a pietei si punct unic de contact. ASF si BNR au atributii pentru servicii financiare, ANSPDCP pentru domenii sensibile, iar ADR ca autoritate de notificare. Romania a ratat termenul initial de august 2025, dar mecanismele sunt in curs de operationalizare.
Articole Similare
Alte articole care te-ar putea interesa
AI și locurile de muncă în 2025: Date despre impactul asupra forței de muncă
Ca persoană care a petrecut 16 ani în conducerea sectorului tehnologic, observând valurile tehnologice care vin și pleacă, am învățat un lucru: diferența dintre teamă și realitate este de obicei enormă. Situația ocupării forței de muncă în domeniul IA nu este diferită. În timp ce 78% dintre organizații utilizează acum IA (față de 55% în 2023), cifrele privind ocuparea forței de muncă rămân remarcabil de stabile. Analiza din octombrie 2025 a Brookings Institution o spune fără menajamente: „Noile date nu indică o apocalipsă a locurilor de muncă în domeniul IA – deocamdată”.
Ghidul Complet pentru Configurarea Muncii la Distanta pentru Echipele Tech
Munca la distanta a evoluat de la o necesitate in timpul pandemiei la un avantaj competitiv strategic pentru companiile de tehnologie.
Hacking-ul Etic – Securitatea Cibernetica si Provocarile Sale
Astazi vom explora lumea fascinanta a hacking-ului etic, analizand diversele sale aspecte si intelegand cum se integreaza in peisajul mai larg al securitatii cibernetice.
Cum va revolutiona Web 3.0 Internetul
In calitate de CTO cu peste 10 ani de experienta in industria tech, sunt extrem de entuziasmat de potentialul Web 3.0 de a transforma internetul asa cum il stim.