#ComissióEuropea

Octubre és el mes Europeu de la Ciberseguretat i un cop més, s’ha dut a terme una campanya anual de sensibilització que ofereix orientacions pràctiques per tal que la ciutadania de la Unió Europea es mantingui segura en línia. La campanya ha estat liderada per la Comissió Europea i l’Agència de la Unió Europea per la Ciberseguretat (ENISA), amb suport de diverses organitzacions de tota Europa.

En aquesta ocasió s’ha centrat en les amenaces de phishing, que és el mètode més comú usat pels atacants per a violar la seguretat dels dispositius digitals. En efecte, les estadístiques indiquen que el 60% dels ciberatacs comencen amb el phishing, un intent de robar informació o sistemes d’accés a través de missatges enganyosos o llocs web fraudulents. Però què és el phishing? El phishing pot tenir diverses formes, des de correus electrònics malintencionats als usuaris amb la finalitat que regalin dades confidencials fins a llocs web falsos dissenyats per a capturar detalls d’inici de sessió. Els atacs de phishing i altres amenaces cibernètiques poden tenir conseqüències devastadores, interrompent la nostra infraestructura crítica i negocis, i deteriorant la nostra confiança en el món digital. Per això, aquesta campanya posa molt d’èmfasi en la construcció de coneixement de la ciutadania per a contrarestar aquests atacs, ajudant a fer que fracassin abans que puguin causar dany.

L’Agència de Ciberseguretat de Catalunya ha posat en marxa sota el lema ‘Aixafa l’estafa’ una difusió en mitjans consistent en vuit càpsules amb consells pràctics de ciberseguretat, amb l’objectiu d’oferir eines perquè la població, en especial les persones grans, sàpiguen identificar i evitar les estafes digitals, cada vegada més sofisticades com l’estafa del fill amb problemes, els riscos d’invertir en criptomonedes, la detecció de notícies falses, en què consisteix l’estafa romàntica, quins permisos donem a les aplicacions o la detecció d’estafes en allotjament. Així, amb un format atrevit i en clau d’humor, les càpsules pretenen informar a tothom i fer que es pugui reconèixer i ‘aixafar’ les estafes abans de caure en elles. 

Per altra banda, el passat 16 d’octubre el president del Govern, Pedro Sánchez,  clausurà la dinovena edició del Encuentro Internacional de Seguridad de la Información del Instituto Nacional de Ciberseguridad (INCIBE) destacant que Espanya és “un dels països més compromesos amb la ciberseguretat del món”, amb “capacitats per sobre de la mitja europea”, fruit d’una “estratègia encertada que combina l’anticipació amb el foment de la cooperació entre el sector públic i el privat”.

Serveis Jurídics

Malgrat la pressió coordinada feta per endarrerir l’aplicació del Reglament (UE) 2024/1689, de 13 de juny, en matèria d’intel·ligència artificial (RIA) per part de més de 100 empreses tecnològiques (entre les que figuren Google i Meta), la Comissió Europea es manté ferma, i el 4 de juliol va manifestar de forma contundent “There is no stop the clock. There is no grace period. There is no pause”.

En efecte, després de mesos d’intenses negociacions, la Comissió va rebre el passat 10 de juliol la versió final del Codi de bones pràctiques d’IA d’ús general, una eina voluntària desenvolupada per tretze experts independents, amb aportacions de més de 1.000 parts interessades, inclosos proveïdors de models, petites i  mitjanes empreses, acadèmics, experts en seguretat de la intel·ligència artificial (IA), titulars de drets i organitzacions de la societat civil.

El Codi està dissenyat per ajudar a la indústria a complir les normes sobre IA d’ús  general del RIA, que entraran en vigor el 2 d’agost de 2025. Les normes passen a ser executables per l’Oficina d’IA de la Comissió un any després en el relatiu als nous models i dos anys després en el relatiu als models existents. Així es pretén garantir que els models d’IA d’ús general introduïts en el mercat europeu siguin segurs i transparents.

El Codi consta de tres capítols: Transparència i drets d’autor (art. 53 RIA), ambdós dirigits a tots els proveïdors de models d’IA d’ús general, i seguretat i protecció (art. 55 RIA), orientats només per a un número limitat de proveïdors dels models més avançats.

• El capítol de transparència del Codi ofereix un model de formulari que permet als proveïdors documentar fàcilment la informació tècnica necessària en un sol lloc i inclou atributs de metadades com temps d’entrenament i càlcul, consum d’energia i mètodes de recopilació i conservació de dades.
• El capítol sobre drets d’autor del Codi ofereix als proveïdors solucions pràctiques per a establir una política que compleixi la legislació de la UE en aquesta matèria, amb detall de llicències i excepcions de mineria de text i dades (TDM) tant per origen de dades (upstream) com per a ús final (downstream).
• Alguns models d’IA d’ús general podrien comportar riscos sistèmics (FLOPS >10^25), com riscos pels drets fonamentals i la seguretat, inclosa la reducció de les barreres pel desenvolupament d’armes químiques o biològiques, o riscos relacionats amb la pèrdua de control sobre el model. El capítol sobre seguretat i protecció conté les pràctiques més avançades per la gestió del risc sistèmic amb obligacions d’avaluació, mitigació de riscos, report d’incidents greus i mesures de ciberseguretat.

Una vegada que el Codi sigui referendat pels Estats membres i la Comissió, els proveïdors de models d’IA d’ús general que el firmin voluntàriament podran demostrar el compliment de les obligacions pertinents del RIA adherint-se al Codi. En fer-ho, els signataris del Codi es beneficiaran d’una menor càrrega administrativa i una major seguretat jurídica en comparació amb els proveïdors que demostrin el compliment d’altres maneres.

El Codi es complementarà amb directrius de la Comissió sobre la IA d’ús general que es publicaran abans de l’entrada en vigor de les obligacions en matèria d’IA d’ús general. Les directrius aclariran qui està dins i fora de l’àmbit d’aplicació de les normes d’IA d’ús general del RIA. 

L’avenç de la IA a la UE és imparable. Des de febrer de 2025 ja apliquen les prohibicions de pràctiques il·legals i l’alfabetització obligatòria en IA per a proveïdors. I ara, quins són els següents passos en el calendari?

• Tal i com s’ha exposat abans, a partir d’agost de 2025, els models d’IA d’ús general, inclosos els models fundacionals, els sistemes basats en API i els desenvolupaments de codi obert han de complir amb el nou marc regulador de la UE.
• L’agost de 2026 seran d’aplicació obligacions de sistemes d’alt risc en sectors com salut, recursos humans, educació i finances.

I amb aquest escenari, encara són moltes les organitzacions que: operen sense auditar els models d’IA, usen models entrenats amb dades opaques o no conformes, no tenen establertes estructures de governança per a la propietat, explicabilitat o seguiment del model, despleguen la IA sense supervisió legal ni responsabilitat formal, …

Davant d’això, cal recordar que el RIA no només regula l’ús, sinó que vincula el lideratge del risc mitjançant documentació, registre i mecanismes d’aplicació. Força similar als requeriments que deriven del RGPD però de forma més profunda, ja que aquest cop el sistema està prenent decisions.

Equip Serveis Jurídics

El 21 de maig de 2025, la Comissió Europea va presentar el quart paquet de simplificació legislativa, conegut com a “Omnibus IV”, amb l’objectiu de reduir les càrregues administratives per a les empreses mitjanes de la Unió Europea. Aquestes mesures busquen fomentar la competitivitat, la innovació i la creació d’ocupació, especialment en un context de rivalitat econòmica amb els Estats Units i la Xina.

Què són les “small mid-caps”?

Les “small mid-caps” són empreses que tenen entre 250 i 750 empleats i un volum de negoci de fins a 150 milions d’euros o actius totals de fins a 129 milions d’euros. A la UE, hi ha aproximadament 38.000 empreses que compleixen aquests criteris. Aquestes empreses sovint es troben en una posició intermèdia: massa grans per beneficiar-se de les exempcions destinades a les pimes, però sense la capacitat administrativa de les grans corporacions.

Mesures clau del paquet Omnibus IV

1. Extensió de beneficis reguladors

Les “small mid-caps” podran accedir a avantatges que fins ara estaven reservats a les pimes, com ara:

• Simplificació en les obligacions de protecció de dades, permetent l’emmagatzematge únicament de dades personals de risc elevat.
• Reducció dels requisits de reportatge en àmbits com els mercats financers i la sostenibilitat.
• Possibilitat d’utilitzar prospectes simplificats per a emissions públiques de valors, amb un estalvi estimat de 20.000 euros per operació.

2. Digitalització i eliminació de tràmits redundants

S’impulsarà la digitalització de processos, com ara:

• Eliminació de la necessitat de proporcionar documents físics, com declaracions de conformitat o instruccions d’ús.
• Ús de codis QR per a la informació de productes, facilitant l’accés a dades per part dels consumidors i autoritats.

3. Harmonització normativa

Es durà a terme una anàlisi per identificar i corregir les incoherències en la transposició de normes europees entre els Estats membres, amb l’objectiu de facilitar la lliure circulació de béns i serveis dins del mercat únic.

Impacte econòmic esperat

La Comissió estima que aquestes mesures podrien suposar un estalvi anual de 400 milions d’euros per a les empreses mitjanes. A més, s’espera que la reducció de càrregues administratives impulsi la competitivitat, la innovació i la creació d’ocupació en sectors clau com la construcció, l’energia, les telecomunicacions i els serveis financers.

Properes passes

El paquet Omnibus IV haurà de ser aprovat pel Parlament Europeu i el Consell de la UE. Es preveu que el procés legislatiu s’estengui durant els pròxims mesos, amb l’objectiu que les mesures entrin en vigor abans de finals de 2025.

Aquestes iniciatives formen part d’un esforç més ampli de la Comissió per reduir les càrregues administratives en un 25% per a totes les empreses i en un 35% per a les pimes abans de 2029.

Amb aquest paquet, la UE busca reforçar el seu teixit empresarial mitjà, reconeixent el seu paper fonamental en l’economia europea i la necessitat de proporcionar-los un entorn regulador més favorable per al seu creixement i expansió.