
A legtöbb ügyvezetővel, akivel az elmúlt hónapokban Pécsen vagy Budapesten tárgyaltam, ugyanaz a mondat hangzott el: „Henrik, ez az AI Act minket valójában nem érint, ugye?”. A baj az, hogy az esetek többségében éppen ellenkezőleg: a 2026. augusztus 2-i határidő pont azokat a 70-500 fős magyar középvállalatokat szorítja meg, amelyek a HR-szoftvereikben, ügyfélszolgálati botjaikban vagy hitelbírálati rendszereikben már régóta használnak gépi tanulást — csak nem így hívják. Az EU AI Act megfelelés 2026 tehát nem egy távoli brüsszeli ügy, hanem konkrét, mérhető jogi kockázat, amelyre érdemes most felkészülni.
A 2024/1689 EU rendelet — közismertebb nevén az AI Act — szakaszosan lép hatályba. A tiltott gyakorlatokra vonatkozó rész már 2025 februárja óta él, az általános célú modellekre (GPAI) vonatkozó kötelezettségek 2025 augusztusától, a magas kockázatú rendszerek nagy része pedig 2026. augusztus 2-án válik kötelezővé. Ez utóbbi az a dátum, amely a magyar középvállalati szektort a leginkább érinti.
AZAR Menedzsment Konzulting ügyfélkörében végzett informális felmérésünk szerint a 70-500 fős magyar cégek mintegy 38%-a nincs tisztában azzal, hogy az általuk használt eszközök — egy önéletrajz-szűrő, egy churn-előrejelző, egy kamera alapú beléptetőrendszer — az AI Act hatálya alá esnek. A jogszabály ugyanis nem aszerint dönt, hogy „mesterséges intelligenciának” nevezik-e a megoldást, hanem aszerint, hogy milyen autonómiával hoz döntést és milyen kontextusban használják.
A magyar cégek többsége nem fejleszt saját modellt — ők „deployer”, azaz alkalmazó. Ez kedvezőbb pozíció, de NEM jelent felmentést. A magas kockázatú rendszereknél a deployernek is kötelessége az emberi felügyelet biztosítása, az input adatok minőségének ellenőrzése, naplózás, valamint az érintettek tájékoztatása. Az AI Act KKV-szempontból leggyakoribb félreértése, hogy „mi csak vásároljuk, nem mi készítettük” — a felelősség ettől nem szűnik meg.
Az AI Act négy szintű kockázati piramist használ, és a megfelelési teher minden szinten más. A magyar cégeknek mindenekelőtt azt kell tisztázniuk, hogy a saját AI-eszközeik melyik dobozba kerülnek.
Tiltott gyakorlatok (Art. 5): social scoring, manipulatív technikák, valós idejű biometrikus azonosítás közterületen (szűk kivételekkel), érzelemfelismerés munkahelyen és oktatásban. Ezek 2025 februárja óta jogellenesek, használatuk azonnali bírságkockázat.
Magas kockázatú rendszerek (Annex III): HR és toborzás (önéletrajz-szűrés, teljesítményértékelés), hitelképesség-vizsgálat, biztosítási kockázatértékelés, kritikus infrastruktúra-vezérlés, oktatási értékelés, bizonyos rendvédelmi alkalmazások. Itt a teljes megfelelési csomag kötelező: kockázatkezelési rendszer, adatkormányzás, műszaki dokumentáció, naplózás, átláthatóság, emberi felügyelet, pontosság és kiberbiztonság.
Korlátozott kockázat: chatbotok, deepfake-ek, generatív tartalom. Itt a fő kötelezettség a tájékoztatás — a felhasználónak tudnia kell, hogy AI-jal beszél, illetve hogy a tartalmat AI generálta.
Minimális kockázat: spam-szűrő, AI-jal javított képszerkesztő, ajánlórendszer egy webshopban. Itt nincs kötelező megfelelési teher, de az önkéntes magatartási kódex (Code of Conduct) ajánlott — különösen, ha a cég B2B partnereihez compliance-kérdőívekkel érkezik.
Tapasztalataink alapján a magyar középvállalatok többségénél 1-3 magas kockázatú rendszer azonosítható — leggyakrabban a HR-rendszerben rejtve. Ez a felismerés sokakat meglep.
A magyar jogalkotó 2025 nyarán fogadta el a 2025. évi LXXV. törvényt az AI Act hazai végrehajtásáról. A törvény legfontosabb pontjai a felügyeleti hatóságok kijelölése, a regulatory sandbox keretrendszerének felállítása, valamint a piaci felügyelet eljárási szabályai.
A felügyeleti hatóságot szektoronként más-más szerv látja el: pénzügyi szolgáltatások esetén az MNB, távközlésnél az NMHH, általános fogyasztóvédelmi és adatvédelmi vonalon pedig a NAIH — utóbbi a leggyakoribb kontaktpont a magyar KKV-szektorban használt HR- és marketingrendszerek miatt.
A magyar AI sandbox keretrendszer 2026 első félévében indult el. Lényege, hogy innovatív megoldásaikat a cégek a hatósággal kontrollált környezetben tesztelhessék, korlátozott bírságkockázattal. Pécs és a Dél-Dunántúl egyetemi és ipari ökoszisztémájában ez különösen érdekes lehetőség — a Pécsi Tudományegyetem és a regionális ipari szereplők közötti AI-projektek pontosan ide illenek.
A sandbox NEM jelent felmentést a kötelezettségek alól, de jelentős előny: a hatósággal párbeszédben formálódik a megoldás, és a későbbi piaci bevezetés kockázata drámaian csökken. AZAR Menedzsment Konzulting több ügyfelénél is segítettük a sandbox-jelentkezés előkészítését, és a tapasztalatunk az, hogy a hatóság konstruktívan áll a felkészült kérelmekhez.
A NAIH 2026-os ellenőrzési ütemterve nyilvános, és világosan jelzi a sorrendet. Az első hullám a pénzintézeti szektort célozta — hitelbírálati és csalásészlelési rendszerek auditálása. A második hullám 2026 második felében a HR- és toborzási piacot veszi célba: ATS-rendszerek (Applicant Tracking System), önéletrajz-rangsoroló algoritmusok, teljesítményértékelő szoftverek.
A magyar KKV-szektorban ez a hullám a legérzékenyebb pont. Egy 200 fős cég, amely egy nemzetközi HR-SaaS-t használ önéletrajz-előszűrésre, ma jellemzően nem rendelkezik DPIA-val (Data Protection Impact Assessment), AI hatásvizsgálattal, sem írásos emberi felügyeleti protokollal. Egy NAIH-ellenőrzés ezt percek alatt feltárja.
A harmadik hullám várhatóan az egészségügyi és oktatási alkalmazásokat fogja érinteni 2027-ben. Aki most felkészül, az lényegében két lépéssel jár a versenytársak előtt – és ez a verseny nem szakmai presztízskérdés, hanem konkrét üzleti kockázat: egy 35 millió eurós felső bírsági plafon mellett a versenytársak megelőzése egzisztenciális tét.
„Tapasztalatom szerint a magyar cégvezetők többsége nem a megfelelésen bukik el, hanem azon, hogy túl későn ismerik fel: az AI-rendszereik már most magas kockázatú kategóriába tartoznak.” — Fülöp Henrik, AZAR Menedzsment Konzulting
Ügyfeleimnél bevált, hat lépéses módszertant alkalmazok, amely a ISO 42001 (AI Management System) szabványra és az EU AI Act követelményeire épül. Ez nem jogi tankönyv, hanem gyakorlati keretrendszer, amelyet egy 100-500 fős magyar cégnél 4-6 hónap alatt be lehet vezetni.
Az AI governance keret kiépítésekor nálunk a legtöbbet az szokott segíteni, hogy a kereteket nem nulláról építjük, hanem a meglévő GDPR- és ISO 27001-struktúrákba illesztjük. Egy érett információbiztonsági irányítási rendszer mellé az AI-réteg 30-40%-os munkateherrel hozzáadható — a fennmaradó rész a valódi újdonság.
A cégvezetők leggyakoribb kérdése a tárgyalás második percében: „Henrik, mibe kerül ez nekünk?”. A reális válasz: egy 100-300 fős magyar cégnél a teljes körű AI compliance keret kiépítése és az első éves működtetés becsléseink szerint 500 ezer és 1,5 millió forint közötti tanácsadói költséget jelent, amelyhez hozzáadódik a belső kapacitás (jellemzően 0,2-0,5 FTE az első évben). Külső auditra a második évtől érdemes gondolni; ennek tarifája 1,5-3 millió forint közötti tartomány.
Ezzel szemben a bírsági kockázat: tiltott AI-gyakorlat esetén az árbevétel 7%-a vagy 35 millió euró (amelyik magasabb), magas kockázatú rendszer megfelelési hibájánál 3% vagy 15 millió euró, információszolgáltatási hibánál 1% vagy 7,5 millió euró. A magyar KKV-szektorban a 35 milliós plafon ritkán reális, de az árbevétel-arányos szankció igen — egy 5 milliárd forintos cégnél ez 150 millió forint feletti tételt is jelenthet egy magas kockázatú megfelelési hibánál.
A költség-haszon számítás tehát egyértelmű: a megfelelési projekt egyszeri befektetés alacsony hétjegyű forintban, a bírsági kockázat ennek 10-100-szorosa. És ez még nem tartalmazza a reputációs kárt, az ügyféladatlapokban megjelenő compliance-kérdőívek elbukását, vagy a V4 régióban és nyugati piacokon szigorodó B2B beszerzési feltételeket, amelyek ma már rutinszerűen kérdeznek rá az AI Act megfelelésre.
Igen, az AI Act nem méretfüggő. A KKV-státusz bizonyos arányosítási könnyítéseket ad (egyszerűsített dokumentáció, sandbox elsőbbség), de a kötelezettségek alapelvei minden cégre vonatkoznak, ha magas kockázatú rendszert használnak. A 2025. évi LXXV. törvény külön KKV-támogatási mechanizmust is kilátásba helyez.
Nem elég. A deployernek (alkalmazónak) saját, önálló kötelezettségei vannak: emberi felügyelet, érintetti tájékoztatás, naplózás, incidensjelentés. A szállítói nyilatkozat fontos input, de nem mentesít. Ügyfeleimnél jellemzően a szállítói szerződés AI-mellékletének átdolgozása az első konkrét lépés.
Jogszabályi szinten nem kötelező, de praktikusan a piac afelé halad, hogy az ISO 42001 lesz az „elfogadhatóság mércéje” — hasonlóan ahhoz, ahogy az ISO 27001 vált az információbiztonság de facto standardjává. B2B beszállítói pozícióban már most számít, különösen nyugat-európai és észak-amerikai partnerek felé.
Az EU AI Act megfelelés 2026 nem informatikai, nem is tisztán jogi kérdés — stratégiai üzleti döntés, amely a vállalat AI-érettségét és piaci versenyképességét egyaránt érinti. AZAR Menedzsment Konzulting tanácsadói gyakorlatában a jogi, üzleti és technológiai szempontot egy módszertanban hidaljuk össze, Pécsről induló, országosan és V4-régiós szinten alkalmazott megközelítéssel.
Ha Ön most kezd készülni a 2026. augusztus 2-i határidőre — vagy ha pontosan szeretné tudni, hogy a cégénél lévő rendszerek melyik kockázati kategóriába esnek —, érdemes egy strukturált felmérési beszélgetéssel kezdeni. A további kiemelt tartalmak között több kapcsolódó esettanulmányt és módszertani anyagot is megtalál a témában. Fülöp Henrikként és az AZAR Menedzsment Konzulting csapataként a felelős AI bevezetés azt jelenti, hogy a megfelelést nem teherként, hanem versenyelőnyként pozícionáljuk — és a magyar cégek számára éppen ebben rejlik a következő két év legnagyobb stratégiai lehetősége.
← Vissza az írásokhoz