Ο εθνικός νόμος εφαρμογής του AI Act στην Ελλάδα: τι αλλάζει για τις επιχειρήσεις

Το ελληνικό νομοσχέδιο για τον AI Act με απλά λόγια: ΑΠΔΠΧ και ΕΕΤΤ ως αρχές, sandbox, πρόστιμα, και τι ισχύει ήδη για κάθε ελληνική επιχείρηση.

Γιώργος Τσιμπίλης·με υποστήριξη AI·

Η Ελλάδα αποκτά το εθνικό της πλαίσιο για την τεχνητή νοημοσύνη. Το νομοσχέδιο «Μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2024/1689» — του ευρωπαϊκού AI Act — πέρασε από την αρμόδια κοινοβουλευτική επιτροπή στις 13 Ιουλίου και εισάγεται προς ψήφιση στην Ολομέλεια της Βουλής στις 16 Ιουλίου 2026. Για τις περισσότερες ελληνικές επιχειρήσεις, το ερώτημα δεν είναι πολιτικό αλλά πρακτικό: ποιος μας εποπτεύει, τι ισχύει ήδη, τι έρχεται, και τι πρέπει να έχουμε τακτοποιήσει — και μέχρι πότε. Αυτός ο οδηγός απαντά ακριβώς αυτά.

Τι είναι το ελληνικό νομοσχέδιο για τον AI Act;

Ο ευρωπαϊκός κανονισμός για την τεχνητή νοημοσύνη ισχύει άμεσα σε όλη την ΕΕ — δεν χρειάζεται «μεταφορά» όπως οι οδηγίες. Κάθε κράτος-μέλος όμως πρέπει να ορίσει τις εθνικές αρχές εποπτείας, το καθεστώς κυρώσεων και τα εργαλεία στήριξης, όπως τα ρυθμιστικά δοκιμαστήρια. Αυτό ακριβώς κάνει το ελληνικό νομοσχέδιο: περίπου 42 άρθρα από το Υπουργείο Ψηφιακής Διακυβέρνησης, που τροποποιούν και τον ν. 4961/2022 για τις αναδυόμενες τεχνολογίες.

Η διαδρομή του ήταν γρήγορη: δημόσια διαβούλευση από τις 21 Ιουνίου έως τις 6 Ιουλίου 2026 — με μόλις 23 σχόλια, ενδεικτικό του πόσο λίγες επιχειρήσεις παρακολουθούν το θέμα — κατάθεση στη Βουλή στις 7 Ιουλίου, ακρόαση φορέων, ψήφιση στην επιτροπή στις 13 Ιουλίου και Ολομέλεια στις 16 Ιουλίου. Στην επιτροπή, μόνο η πλειοψηφία υπερψήφισε επί της αρχής· τα υπόλοιπα κόμματα επιφυλάχθηκαν ή καταψήφισαν, και ο υπουργός προανήγγειλε βελτιωτικές αλλαγές στην Ολομέλεια — οπότε το τελικό κείμενο στο ΦΕΚ μπορεί να διαφέρει σε λεπτομέρειες.

Αξίζει να ειπωθεί και το πλαίσιο: η Ελλάδα άργησε στον αρχικό ορισμό αρχών (η προθεσμία του κανονισμού ήταν η 2α Αυγούστου 2025), αλλά με το νομοσχέδιο αυτό αποκτά ένα από τα πληρέστερα εθνικά πλαίσια στην ΕΕ — τη στιγμή που αρκετά κράτη-μέλη δεν έχουν ακόμη ορίσει ούτε τις αρχές τους.

Ποιος θα εποπτεύει την τεχνητή νοημοσύνη στην Ελλάδα;

Το νομοσχέδιο μοιράζει τους ρόλους σε υπάρχουσες ανεξάρτητες αρχές αντί να φτιάξει νέα υπηρεσία:

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) γίνεται η κεντρική αρχή εποπτείας της αγοράς και το ενιαίο εθνικό σημείο επαφής. Εποπτεύει τις απαγορευμένες πρακτικές του άρθρου 5, τα συστήματα υψηλού κινδύνου του Παραρτήματος III και τις υποχρεώσεις διαφάνειας του άρθρου 50 — δηλαδή chatbots και συνθετικό περιεχόμενο. Πρακτικά: αν μια ελληνική επιχείρηση παραβεί τον κανονισμό, ο φάκελος θα καταλήξει κατά κανόνα εκεί.

Η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ) αναλαμβάνει ρόλο αρχής κοινοποίησης — πιστοποιεί και κοινοποιεί τους οργανισμούς αξιολόγησης συμμόρφωσης — και φιλοξενεί το νέο Κέντρο Συντονισμού και Τεχνογνωσίας Τεχνητής Νοημοσύνης, που θα υποστηρίζει τεχνικά όλες τις αρμόδιες αρχές.

Η Ειδική Γραμματεία Τεχνητής Νοημοσύνης και Διακυβέρνησης Δεδομένων του Υπουργείου Ψηφιακής Διακυβέρνησης (ιδρύθηκε τον Ιούνιο του 2025) κρατά τον συντονισμό πολιτικής και το μητρώο συστημάτων τεχνητής νοημοσύνης του δημόσιου τομέα. Για τα θεμελιώδη δικαιώματα, αρμόδιες παραμένουν η ΑΠΔΠΧ, ο Συνήγορος του Πολίτη, η ΑΔΑΕ και η ΕΕΔΑ.

Προβλέπεται και ενιαίος μηχανισμός καταγγελιών με κεντρικό σημείο την ΑΠΔΠΧ — με αυτόματη κλιμάκωση αν μια αρμόδια αρχή δεν απαντήσει εμπρόθεσμα. Στη διαβούλευση διατυπώθηκε πάντως και κριτική: η ΑΠΔΠΧ συγκεντρώνει διπλό ρόλο για ορισμένες κατηγορίες συστημάτων (αξιολόγηση συμμόρφωσης και εποπτεία μαζί), και τα ζητήματα στελέχωσης των αρχών παραμένουν ανοιχτά. Είναι σημεία που αξίζει να παρακολουθεί κανείς στην εφαρμογή, όχι λόγοι αδράνειας.

Τι ισχύει ήδη σήμερα για κάθε ελληνική επιχείρηση;

Εδώ βρίσκεται η πιο διαδεδομένη παρανόηση: πολλοί περιμένουν «να ψηφιστεί ο νόμος» για να ασχοληθούν. Ο κανονισμός όμως ισχύει άμεσα, και τρεις ομάδες υποχρεώσεων τρέχουν ήδη ή ενεργοποιούνται σε λίγες εβδομάδες:

Από τις 2 Φεβρουαρίου 2025 ισχύουν οι απαγορευμένες πρακτικές — κοινωνική βαθμολόγηση, χειραγωγικά συστήματα, αναγνώριση συναισθημάτων στον χώρο εργασίας — και η υποχρέωση του άρθρου 4 για επάρκεια γνώσεων: όποιος αναπτύσσει ή χρησιμοποιεί συστήματα τεχνητής νοημοσύνης οφείλει να φροντίζει την κατάρτιση του προσωπικού του. Αν η ομάδα σας χρησιμοποιεί καθημερινά εργαλεία τεχνητής νοημοσύνης χωρίς καμία εκπαίδευση και καμία πολιτική, η εκκρεμότητα υπάρχει ήδη — δεν έρχεται.

Από τις 2 Αυγούστου 2025 ισχύουν οι υποχρεώσεις για τα μοντέλα γενικής χρήσης (GPAI) — αφορούν κυρίως τους κατασκευαστές μοντέλων, όχι τις επιχειρήσεις που τα χρησιμοποιούν.

Από τις 2 Αυγούστου 2026 — σε λίγες εβδομάδες — ενεργοποιείται το άρθρο 50 για τη διαφάνεια: τα chatbots πρέπει να δηλώνουν ότι ο χρήστης συνομιλεί με σύστημα τεχνητής νοημοσύνης, και το συνθετικό περιεχόμενο — deepfakes, παραγόμενες εικόνες, κείμενο για ενημέρωση του κοινού — πρέπει να επισημαίνεται. Για συστήματα που κυκλοφορούσαν ήδη πριν από τις 2 Αυγούστου, η τεχνική υποχρέωση της μηχανικά αναγνώσιμης σήμανσης έχει μεταβατική προθεσμία έως τις 2 Δεκεμβρίου 2026· για ό,τι μπαίνει στην αγορά μετά, ισχύει αμέσως. Αν το site σας έχει chatbot εξυπηρέτησης ή δημοσιεύετε περιεχόμενο παραγόμενο από τεχνητή νοημοσύνη, αυτή είναι η προθεσμία που σας αφορά — όχι το 2027.

Τι άλλαξε με το Digital Omnibus;

Τον Ιούνιο του 2026 η ΕΕ ολοκλήρωσε το λεγόμενο Digital Omnibus για την τεχνητή νοημοσύνη — τη «διορθωτική» δέσμη που απλοποιεί τον κανονισμό. Το Ευρωπαϊκό Κοινοβούλιο την ενέκρινε στις 16 Ιουνίου και το Συμβούλιο έδωσε το τελικό πράσινο φως στις 29 Ιουνίου· η δημοσίευση στην Επίσημη Εφημερίδα αναμένεται μέσα στον Ιούλιο. Οι κρίσιμες αλλαγές για επιχειρήσεις:

  • Τα συστήματα υψηλού κινδύνου του Παραρτήματος III — προσλήψεις και αξιολόγηση προσωπικού, πιστοληπτική βαθμολόγηση, εκπαίδευση, κρίσιμες υποδομές — παίρνουν παράταση: οι υποχρεώσεις ισχύουν από τις 2 Δεκεμβρίου 2027 αντί για τις 2 Αυγούστου 2026.
  • Τα ενσωματωμένα σε προϊόντα συστήματα (Παράρτημα I — μηχανήματα, ιατροτεχνολογικά, παιχνίδια) μετατίθενται για τις 2 Αυγούστου 2028.
  • Οι υποχρεώσεις διαφάνειας του άρθρου 50 δεν μετατέθηκαν — παραμένουν στις 2 Αυγούστου 2026, όπως είδαμε παραπάνω.
  • Ελαφρύνσεις για μικρομεσαίες: απλοποιημένος τεχνικός φάκελος για ΜμΕ και εταιρείες μεσαίας κεφαλαιοποίησης, αναλογικότερο καθεστώς προστίμων, και νομική βάση για επεξεργασία ειδικών κατηγοριών δεδομένων όταν γίνεται για εντοπισμό και διόρθωση μεροληψίας.
  • Νέα απαγόρευση από τις 2 Δεκεμβρίου 2026 για συστήματα που παράγουν μη συναινετικό προσωπικό υλικό ή υλικό κακοποίησης ανηλίκων.

Η παράταση των high-risk υποχρεώσεων δόθηκε επειδή τα εναρμονισμένα πρότυπα του CEN-CENELEC καθυστερούν — κανένα δεν έχει δημοσιευθεί ακόμη. Μεταφράζεται όμως λάθος ως «ο AI Act πάγωσε». Δεν πάγωσε· απλώς η σειρά των προθεσμιών άλλαξε, και η πρώτη γραμμή τώρα είναι η διαφάνεια, όχι το high-risk. Ολόκληρη τη λίστα ελέγχου μετά το omnibus την περνάμε βήμα-βήμα στον οδηγό συμμόρφωσης για μικρομεσαίες.

Τι προβλέπει το ελληνικό ρυθμιστικό δοκιμαστήριο (sandbox);

Το νομοσχέδιο ιδρύει Ρυθμιστικό Δοκιμαστήριο Τεχνητής Νοημοσύνης — ένα ελεγχόμενο περιβάλλον όπου, κυρίως, νεοφυείς και μικρομεσαίες επιχειρήσεις θα δοκιμάζουν συστήματα σε πραγματικές συνθήκες με την υποστήριξη και την εποπτεία της Πολιτείας, και με προστασία από κυρώσεις κατά τη διάρκεια της συμμετοχής. Οι λεπτομέρειες λειτουργίας — φορέας, διαδικασία ένταξης, τυχόν τέλη — θα οριστικοποιηθούν με την εφαρμογή· η ευρωπαϊκή προθεσμία για λειτουργικό εθνικό sandbox μετατέθηκε άλλωστε στις 2 Αυγούστου 2027, οπότε υπάρχει χρόνος να στηθεί σωστά.

Το δοκιμαστήριο δένει με τη μεγαλύτερη εικόνα: η Ελλάδα επιλέχθηκε στα πρώτα επτά AI Factories της ΕΕ με το έργο Pharos και τον υπερυπολογιστή «Δαίδαλος» στο Λαύριο, έχει εθνική στρατηγική για την τεχνητή νοημοσύνη από τον Ιούνιο του 2025 — με το ίδιο το υπουργείο να μετονομάζεται σε Υπουργείο Ψηφιακής Διακυβέρνησης και Τεχνητής Νοημοσύνης — και το «Blueprint» της επιτροπής Δασκαλάκη ως στρατηγικό υπόβαθρο. Το ρυθμιστικό πλαίσιο είναι το ένα σκέλος μιας συνολικής προσπάθειας, όχι μεμονωμένη υποχρέωση.

Τι πρόστιμα προβλέπονται — και ποιο λάθος κυκλοφορεί στα μέσα;

Τα ανώτατα όρια προστίμων έρχονται απευθείας από τον ευρωπαϊκό κανονισμό: έως 35 εκατ. ευρώ ή 7% του παγκόσμιου κύκλου εργασιών για απαγορευμένες πρακτικές, έως 15 εκατ. ή 3% για τις περισσότερες παραβάσεις υποχρεώσεων, και έως 7,5 εκατ. ή 1% για παραπλανητικές πληροφορίες προς τις αρχές. Κρίσιμη λεπτομέρεια για μικρομεσαίες: για ΜμΕ και νεοφυείς ισχύει το χαμηλότερο από τα δύο ποσά κάθε κλίμακας — όχι το υψηλότερο, όπως στις μεγάλες εταιρείες.

Το εθνικό νομοσχέδιο προσθέτει την ελληνική εργαλειοθήκη επιβολής: συστάσεις και επιπλήξεις, διοικητικά πρόστιμα, δημοσιοποίηση αποφάσεων, και — εδώ χρειάζεται προσοχή — χρηματικές ποινές εξαναγκασμού έως 2% του μέσου ημερήσιου παγκόσμιου κύκλου εργασιών για κάθε ημέρα μη συμμόρφωσης. Σε αρκετά δημοσιεύματα το «2%» παρουσιάστηκε ως το ανώτατο πρόστιμο του νόμου· δεν είναι. Είναι ημερήσια ποινή εξαναγκασμού, πάνω και πέρα από τα πρόστιμα του κανονισμού.

Τι πρέπει να κάνει τώρα μια ελληνική μικρομεσαία επιχείρηση;

Όχι πανικό — αλλά όχι και αναβολή για το 2027. Η ρεαλιστική λίστα είναι πέντε βήματα:

  1. Καταγράψτε τι χρησιμοποιείτε. Κάθε σύστημα και εργαλείο τεχνητής νοημοσύνης σε λειτουργία — από το chatbot του site μέχρι το scoring του CRM. Χωρίς απογραφή, όλα τα επόμενα είναι εικασίες.
  2. Ταξινομήστε κατά κίνδυνο. Οι περισσότερες χρήσεις σε μια ΜμΕ είναι περιορισμένου κινδύνου· αν όμως η τεχνητή νοημοσύνη αγγίζει προσλήψεις, αξιολόγηση προσωπικού ή πιστοληπτικές αποφάσεις, μπαίνετε σε τροχιά high-risk με ορίζοντα τον Δεκέμβριο του 2027 — και η προετοιμασία εκεί δεν γίνεται σε ένα τρίμηνο.
  3. Κλείστε την εκκρεμότητα του άρθρου 50 πριν από τις 2 Αυγούστου. Δήλωση σε κάθε chatbot ότι είναι σύστημα τεχνητής νοημοσύνης, επισήμανση σε deepfakes και συνθετικό περιεχόμενο, πλάνο για τη μηχανικά αναγνώσιμη σήμανση.
  4. Εκπαιδεύστε το προσωπικό. Η υποχρέωση του άρθρου 4 ισχύει από το 2025 — και είναι, από όλες, αυτή με το καλύτερο επιχειρηματικό πρόσημο: ομάδα που ξέρει τι κάνει βγάζει και περισσότερη αξία από τα εργαλεία.
  5. Γράψτε πολιτική χρήσης και ορίστε εποπτεία. Ποια εργαλεία επιτρέπονται, ποια δεδομένα δεν φεύγουν ποτέ, ποιος εγκρίνει τι, και πώς καταγράφονται οι αποφάσεις — ώστε σε έλεγχο ή due diligence να μπορείτε να δείξετε τη δουλειά σας.

Αν θέλετε βοήθεια στο τεχνικό και λειτουργικό σκέλος — απογραφή, ταξινόμηση, πολιτική, ίχνη ελέγχου — αυτό ακριβώς κάνει η υπηρεσία διακυβέρνησης AI, σε συνεργασία πάντα με τον νομικό σας σύμβουλο, που κρατά τη νομική ερμηνεία. Και αν δεν ξέρετε από πού να ξεκινήσετε, η δωρεάν αυτοδιάγνωση ετοιμότητας δίνει μια πρώτη εικόνα σε τρία λεπτά — η διάσταση «ρίσκο & διακυβέρνηση» είναι μία από τις τέσσερις που βαθμολογεί.

Η Ολομέλεια ψηφίζει στις 16 Ιουλίου. Ό,τι κι αν αλλάξει στις λεπτομέρειες, η κατεύθυνση είναι δεδομένη: η εποχή που η τεχνητή νοημοσύνη στην Ελλάδα λειτουργούσε χωρίς κανόνες τελείωσε — και οι επιχειρήσεις που θα το πάρουν στα σοβαρά πρώτες θα το μετατρέψουν από κόστος συμμόρφωσης σε πλεονέκτημα.

Σχετικά signals