Vodič za procjenu rizika uvođenja AI za male tvrtke u Hrvatskoj

AI se širi brže nego ikad, a male tvrtke u Hrvatskoj već vide jasne koristi, od brže podrške kupcima do pametnije analize prodaje. No bez procjene rizika lako nastanu skupi problemi, primjerice curenje podataka, pogrešne preporuke ili loše odluke temeljene na pristranim modelima. Ako tek razmišljate o AI alatima, krenite promišljeno i s jasnim ciljem.

Ovaj vodič pokazuje koje su najčešće vrste rizika, kako na vas utječu EU AI Act i GDPR, te gdje započeti s procjenom utjecaja na posao i reputaciju. Naučit ćete praktične korake za smanjenje opasnosti, kao što su ograničavanje osjetljivih podataka, testiranje na malom uzorku, dokumentiranje odluka i edukacija tima. Dobit ćete i jasne signale kada je AI rješenje spremno za širu primjenu.

Ako želite saznati gdje AI najbrže donosi koristi u malim tvrtkama, pogledajte pregled promjena i primjera u članku Utjecaj AI na poslovanje malih poduzeća u Hrvatskoj. Ovo je dobra podloga prije nego procijenite rizike i odaberete prve korake.

Kakvi su glavni rizici uvođenja AI u male hrvatske tvrtke?

AI donosi brzinu i uštede, ali nosi i konkretne opasnosti. Male tvrtke u Hrvatskoj najčešće nemaju jak IT tim, ni kontrolu nad podacima i dobavljačima. To otvara prostor za tehničke kvarove, napade i regulatorne greške koje se skupo plaćaju. U nastavku su rizici koji se najčešće pojavljuju i praktični koraci kako ih smanjiti.

Tehnički i sigurnosni rizici

Najveći tehnički problemi kreću od osnova, nedostatka stručnjaka i loše infrastrukture. Alati za generativni AI trebaju stabilnu mrežu, čistu i dostupnu bazu podataka, te jasno vlasništvo nad računima. Bez toga, modeli daju pogrešne rezultate, a tim gubi vrijeme krpajući greške.

Sigurnosne prijetnje rastu iz mjeseca u mjesec. Deepfake audio i video prijevare već pogađaju poduzeća, primjer je porast napada opisan u članku Sve više poduzeća na udaru “deepfake” prevara. Pritom kriminalci koriste i modelima koji pomažu u phishingu i izradi zlonamjernog koda, o čemu više pišemo u tekstu FraudGPT i WormGPT kao ilegalni AI modeli.

Male tvrtke su posebno ranjive jer često nemaju SIEM, DLP ili 24/7 nadzor. Dovoljna je jedna kriva postavka ili dijeljenje povjerljivog dokumenta u chatbot, pa da dođe do curenja podataka. Ako alat trenira na korisničkim unosima, rizik je još veći.

Praktični koraci za brzu provjeru sigurnosti AI alata:

• Postavite kontrolna pitanja dobavljaču: trenira li na vašim podacima, gdje se podaci pohranjuju, koliko dugo i tko ima pristup.
• Aktivirajte SSO i obaveznu dvofaktorsku autentikaciju, te ograničite pristup po ulogama.
• Ugasite cloud history ili slične značajke dijeljenja gdje je moguće, te koristite privatne instance za osjetljive podatke.
• Napravite listu zabranjenih podataka za unos u AI alate, primjerice osobni OIB, medicinski podaci, ugovori s povjerljivim klauzulama.
• Testirajte alat s lažnim ili anonimiziranim podacima prije produkcije, i vodite dnevnik promjena.
• Ako poslujete u sektorima s kritičnom infrastrukturom, upoznajte se s obvezama koje donosi NIS2 direktiva i njena važnost za IT sigurnost u Hrvatskoj.

Kratak primjer: ako koristite AI asistent za korisničku podršku, ograničite mu pristup samo na FAQ i javnu dokumentaciju. Logove držite 30 dana, anonimizirane. Svakog mjeseca prođite 10 nasumičnih razgovora i provjerite točnost i ton.

Financijski i regulatorni rizici

Uvođenje AI-a košta više od same licence. Tu su troškovi integracije, čišćenja podataka, edukacije, sigurnosnih procjena i održavanja. Bez plana lako izgorite budžet na pilot koji ne stigne do rezultata. Male tvrtke često podcijene skriveni rad, pa gube novac zbog loše procjene vremena i resursa.

Regulatorni rizici su jednako važni. Kršenje EU AI Acta može dovesti do vrlo visokih kazni, što je sažeto u pregledu AI Act stupio na snagu: što nova europska regulativa znači. GDPR ostaje na snazi, pa svaka obrada osobnih podataka u AI alatima traži pravni temelj, minimalizaciju i evidenciju. Ako AI donosi odluke koje utječu na pojedince, morate moći objasniti logiku odluke i osigurati mogućnost prigovora.

Kako smanjiti financijske i regulatorne rizike:

1. Postavite jasan poslovni cilj i mjeru uspjeha prije kupnje alata. Primjerice, smanjiti vrijeme odgovora podrške za 30 posto u 60 dana.
2. Napravite budžet po fazama, licenca, integracija, sigurnost, edukacija, održavanje. Ostavite 20 do 30 posto rezerve za nepredviđene radove.
3. Ugovorite probno razdoblje i izlaznu klauzulu s dobavljačem, te tražite procjenu ukupnih troškova vlasništva.
4. Provjerite pravnu osnovu za obradu podataka, napravite DPIA kada postoji veći rizik za prava pojedinaca, i dokumentirajte sve odluke.
5. Definirajte vlasništvo nad modelima, izlazima i podacima u ugovoru. Zatražite klauzule o povjerljivosti i brisanju podataka po isteku suradnje.
6. Uskladite politiku zadržavanja podataka i pristupa s internim pravilnicima i GDPR-om, te imenujte odgovornu osobu.

Ako tek tražite prve use caseove i želite zadržati troškove pod kontrolom, pogledajte pregled Najbolji AI alati za male poduzetnike u Hrvatskoj. Odaberite jedan proces, počnite s malim pilotom i učite iz podataka prije širenja. Tako čuvate novac i ostajete na pravoj strani propisa.

Hrvatski i EU propisi: Kako se prilagoditi EU AI Actu?

Kao mala tvrtka u Hrvatskoj, želite koristiti AI bez pravnih rizika i skupih pogrešaka. EU AI Act donosi jasna pravila, a Hrvatska ih provodi kroz postojeće zakone i buduće smjernice. U nastavku su ključne točke i konkretni koraci koji vam štede vrijeme i novac. Za širi pregled pogledajte i vodič na stranici Što je EU AI akt i kako utječe na korisnike.

Ključni elementi EU AI Acta za male tvrtke

EU AI Act razvrstava AI u četiri skupine rizika, od zabrane do minimalnih obveza. To pomaže da brzo znate što se odnosi na vaš slučaj.

• Zabranjeni sustavi: primjer je socijalno bodovanje ili manipulativne tehnike. Takvi sustavi se ne smiju koristiti.
• Visokorizični sustavi: zapošljavanje, kreditne odluke, obrazovanje, zdravstvo, biometrika, kritična infrastruktura. Traže upravljanje rizikom, testiranje, kvalitetne podatke, nadzor i dokumentaciju prije puštanja u rad.
• Sustavi s ograničenim rizikom: traži se transparentnost. Ako je korisnik u interakciji s AI-em, mora znati da je riječ o AI-u.
• Minimalni rizik: najširi skup, bez posebnih obveza, i dalje vrijede dobra praksa i sigurnost.

Rokovi dolaze u tri vala, pa planirajte po fazama:

• Od 2. kolovoza 2025. vrijede pravila za nove sustave opće namjene (GPAI) koji izlaze nakon tog datuma.
• Od 2. kolovoza 2026. obveze vrijede za operatore visokorizičnih sustava.
• Do 2. kolovoza 2027. svi ostali sustavi moraju biti usklađeni, uključujući GPAI koji su već na tržištu prije kolovoza 2025.

Ovo se odnosi i na hrvatske SME. Dobre vijesti, postoje olakšice za mala poduzeća, regulatorni sandboxovi i pojednostavljena dokumentacija. Pregled prilagodbi i alata za SME, uključujući provjere usklađenosti, dostupan je u vodiču Small Businesses’ Guide to the AI Act.

Brzi plan za usklađivanje, bez panike i velikih troškova:

1. Popis i razvrstavanje: zapišite sve AI alate koje koristite ili planirate koristiti, razvrstajte ih prema riziku.
2. Procjena rizika: provjerite točnost, pristranost, sigurnost podataka i ljudski nadzor. Zabilježite nalaze, kratko i jasno.
3. Transparentnost: korisnicima jasno recite gdje i kako koristite AI, posebno u chatbotima i preporukama.
4. Dokumentacija: čuvajte verzije modela, test scenarije i odluke o promjenama. To je ključ za audit.
5. Rokovi i odgovornosti: dodijelite vlasnika za svaki AI sustav. Postavite interne rokove usklađivanja sukladno 2025., 2026. i 2027.

Ako trebate dodatnu podršku i praktične alate, pogledajte i resurse zajednice DIGITAL SME o prijelazu na usklađenost, uključujući sandbox programe, u objavi EU inicijative za olakšavanje usklađivanja AI Acta za SME.

Hrvatski kontekst: Lokalni zakoni i podrška

EU AI Act u Hrvatskoj radi zajedno s GDPR-om i lokalnim propisima. Ključ je u tri stvari, pravni temelj obrade, minimalizacija podataka i prava korisnika.

• GDPR u praksi: ako AI obrađuje osobne podatke, trebate jasan pravni temelj, primjerice privolu ili legitiman interes. Subjekti podataka imaju pravo pristupa i brisanja.
• DPIA kada je rizik veći: za zapošljavanje, kreditne odluke i slična područja izradite procjenu učinka na zaštitu podataka.
• Transparentnost prema korisnicima: jasno označite AI, objasnite svrhu i bitnu logiku odluke kada utječe na pojedinca.

Institucije i izvori pomoći u Hrvatskoj:

• AZOP objavljuje upute o zaštiti podataka i nadzire GDPR. Pratite nove preporuke povezane s AI-jem.
• Ministarstvo gospodarstva i održivog razvoja i HGK često nude info radionice i najave poziva za digitalizaciju.
• HAMAG-BICRO i EU projekti često nude vaučere i tehničku pomoć za digitalnu transformaciju, uključujući sigurnost i procjene.

Želite praktičan alat za prvi pregled obveza? Isprobajte neovisni AI Act Compliance Checker. Za temeljno razumijevanje okvira i utjecaja na svakodnevnu upotrebu tehnologija, poslužite se internim vodičem Pravni okvir EU AI akta za umjetnu inteligenciju.

Kratki savjet za završetak: odredite jednu odgovornu osobu, pokrenite jednostavnu evidenciju AI sustava i uskladite priču s GDPR procesima koje već imate. To je 80 posto posla za većinu malih tvrtki.

Koraci za procjenu i smanjenje rizika: Praktični vodič

Ovi koraci pomažu da brzo otkrijete gdje AI ima smisla, što može poći krivo i kako to spriječiti. Idemo od plana, preko edukacije i pilota, do suradnje i mjerenja rezultata. Zadržite fokus na malim, mjerljivim iskoracima.

Razvoj strategije i planiranja

Krenite od jasnog cilja. Bez cilja nema ni pravog mjerenja uspjeha.

1. Popišite procese s puno ručnog rada i ponavljanja. Primjeri, podrška kupcima, obrada upita i faktura, kvalifikacija leadova, izrada sadržaja, analiza prodaje.
2. Procijenite dobit naspram troška.
   • Trošak, licence, integracija, sigurnost, edukacija, održavanje.
   • Korist, ušteda vremena, manji broj grešaka, brži odgovor, bolji uvidi.
3. Odredite KPI-je. Primjer, smanjiti vrijeme odgovora podrške za 30 posto, povećati točnost klasifikacije upita za 20 posto, smanjiti ručni unos podataka za 50 posto.
4. Procijenite rizike po scenarijima.
   • Pogreške modela i pristranost.
   • Curenje podataka i pogrešna konfiguracija.
   • Regulatorni rizik ako obrađujete osobne podatke.
5. Definirajte granice podataka. Koristite anonimizaciju i jasna pravila što se ne smije unositi u AI. Ako radite sa slikama kupaca, proučite praktične rizike opisane u članku Rizici privatnosti pri dijeljenju slika s AI-jem.

Istraživanja u Hrvatskoj pokazuju da dio tvrtki već vidi poslovne koristi, no malo njih ima jasnu strategiju. U izvještaju se navodi da 70 posto poduzeća vidi AI kao prednost, ali tek mali dio ima definiran plan, pogledajte analizu o stavovima hrvatskih tvrtki o AI.

Edukacija tima i testiranje

Bez obuke i malih testova rizik raste. Cilj je brzo naučiti na malom uzorku, uz minimalne troškove.

• Kratke radionice, 90 minuta po timu. Pokrijte osnove promptanja, pravila sigurnog unosa podataka, etičke smjernice i što je dopušteno.
• Pripremite vodič od jedne stranice. Uključite primjere dobrih i loših upita, zabrane unosa osjetljivih podataka i kontakt osobu.
• Odaberite jedan pilot koji ima jasan ishod, na primjer AI sažeci poziva, chatbot za interni FAQ ili klasifikacija dolaznih mailova.
• Testirajte s lažnim ili anonimiziranim podacima 2 do 4 tjedna.
• Mjerite kvalitetu, točnost, vrijeme i prigovore korisnika. Usporedite s početnim stanjem.

Primjeri iz prakse pokazuju da tvrtke koje uvode pilote i grade osnovne politike smanjuju rizike i ubrzavaju učenje. Domaća istraživanja navode da trećina tvrtki već koristi alate poput ChatGPT-a, što potvrđuje da se mali piloti isplate kada su vođeni ciljevima, vidjeti sažetak o korištenju AI u hrvatskim poduzećima. Za širu sliku o promjenama poslova i kompetencija u EU kontekstu, koristan je pregled Prednosti i izazovi AI u optimizaciji procesa.

Checklist za pilot bez stresa:

1. Vlasnik pilota i KPI-ji.
2. Podaci očišćeni i anonimizirani.
3. Plan povlačenja ako rezultati nisu dobri.
4. Kratka dokumentacija testiranja i nalaza.

Suradnja i praćenje rezultata

Ne radite sve sami. Partnerstva štede vrijeme i smanjuju skupe greške.

• Odaberite provjerenog dobavljača ili konzultanta s iskustvom u SME segmentu. Tražite referentne projekte i jasan plan odgovornosti.
• Ugovorite sigurnosne i pravne klauzule, korištenje podataka, čuvanje, brisanje, audit logovi, izlazna klauzula.
• Postavite ritam praćenja rezultata, tjedni brzi pregled metrika u pilotu, mjesečni izvještaj s jasnim odlukama.
• Uvedite kontrolne točke, test pristranosti, točnosti i sigurnosti svaka 2 do 3 mjeseca.
• Dokumentirajte verzije modela i promjene. To olakšava usklađivanje s EU AI Actom i GDPR-om.

Redovito praćenje je realna slika spremnosti. Aktualna izvješća pokazuju da je većina hrvatskih tvrtki umjereno spremna za AI, što znači da je sustavno praćenje ključno za napredak, pogledajte novi pregled spremnosti hrvatskih tvrtki za AI. Ako ste na početku, prihvatite postupni pristup i jasne metrike. To je najbrži način da smanjite rizik i povećate učinak.

Zaključak

Ključ je jasan cilj, mali pilot, zaštita podataka i kratka, uredna dokumentacija, sve uz poštivanje EU AI Acta i GDPR-a. Kao prvi korak, popišite AI alate koje koristite, odredite vlasnike i procijenite utjecaj na podatke, dodatnu strukturu daje i Vodič kroz zahtjeve ISO/IEC 27001 za procjenu rizika. Podijelite svoja iskustva i pitanja u komentarima, a za dublje teme prođite povezane vodiče na sajtu.

Uz ovakav pristup, AI u malim hrvatskim tvrtkama donosi brže procese, bolju uslugu i manje grešaka, bez velikih iznenađenja.