Er din chatbot høyrisiko under AI Act?

En av de mest utbredte feilene i norsk AI Act-dekning er påstanden om at alle chatbots er høyrisiko-AI, eller at alle AI-systemer må gjennom en tung samsvarsvurdering. Begge påstander er feil — og misforståelsen skaper unødvendig stress for norske SMB.

Her er sannheten: for de aller fleste norske bedrifter er chatboten deres ikke høyrisiko. Den faller under kategorien transparens-risiko og har ett enkelt krav — brukeren må vite at det er AI de snakker med.

AI Act deler alle AI-systemer inn i fire risikonivåer, og det er avgjørende å forstå hvilken kategori din løsning faktisk befinner seg i.

Uakseptabel risiko gjelder forbudt bruk etter artikkel 5 i forordningen. Disse systemene får rett og slett ikke brukes. Det dreier seg om teknologier som sosial poenggiving av borgere, utnyttelse av sårbare grupper og sanntids biometrisk overvåking i offentlige rom — med svært få unntak.

Høyrisiko gjelder spesifikke områder listet i Annex I og III. Her er kravene tunge: grundig dokumentasjon, risikostyring, samsvarsvurdering og EU-registrering. Dette er kategorien mange feilaktig tror at alle chatbots tilhører.

Begrenset risiko, også kalt transparens-risiko, dekker blant annet chatbots og deepfakes etter artikkel 50. Kravet er enkelt: informer brukeren om at det er AI. Ingen samsvarsvurdering, ingen registrering.

Minimal risiko gjelder alt annet. Her er det ingen bindende forpliktelser overhodet.

For SMB med vanlig AI-bruk er det de to nederste kategoriene som er relevante.

Du trenger ikke være jurist for å gjøre en første vurdering. Følg dette enkle beslutningstreet.

Spørsmål 1: Brukes chatboten i ett av AI Acts Annex III-områder?

Annex III lister åtte spesifikke høyrisiko-områder: biometri (biometrisk identifikasjon, ikke sanntid), kritisk infrastruktur (vann, strøm, transport, digital infrastruktur), utdanning (tilgang, evaluering, eksamen), sysselsetting (rekruttering, HR-screening, evaluering og oppsigelse), tilgang til vesentlige tjenester (kreditt, helsetrygd og offentlige ytelser), rettshåndhevelse, migrasjon og grensekontroll, samt rettspleie og demokratiske prosesser.

Hvis svaret er nei — chatboten er ikke høyrisiko. Gå direkte til avsnittet om hva som faktisk gjelder.

Hvis svaret er ja — fortsett til neste spørsmål.

Spørsmål 2: Tar chatboten autonome beslutninger som påvirker personers rettigheter?

Et klart ja-eksempel er en chatbot som automatisk avgjør om en søker får kredittkort, om en kandidat går videre i rekrutteringsprosessen, eller om en person får helsestøtte.

Et klart nei-eksempel er en chatbot som svarer på generelle spørsmål, gir informasjon, eller samler inn data som senere gjennomgås av et menneske.

Hvis svaret er nei — du har sannsynligvis et lavrisiko-system i et høyrisiko-felt. Kontakt en rådgiver for en konkret vurdering av akkurat din situasjon.

Hvis svaret er ja — chatboten er sannsynligvis høyrisiko, og hele katalogen av krav i AI Act kapittel III gjelder.

For å gjøre dette mer konkret kan det hjelpe å se på typiske bruksområder og hvilken risikokategori de faktisk faller inn under.

En kundeservice-chatbot på en nettbutikk er transparens-risiko etter artikkel 50. Den svarer på spørsmål og eskalerer til et menneske ved behov — ingen autonome beslutninger.

En AI som svarer på FAQ-er faller inn under transparens eller minimal risiko. Ingen beslutninger tas automatisk.

En AI som anbefaler produkter er transparens eller minimal risiko. Den anbefaler, men avgjør ingenting.

En AI som automatisk siler CV-er er høyrisiko. Dette faller direkte under Annex III punkt 4 om sysselsetting, og her gjelder de tunge kravene.

En AI som vurderer lånesøknader er høyrisiko. Dette er Annex III punkt 5, tilgang til kreditt.

En AI som diagnostiserer pasienter er høyrisiko og reguleres i tillegg av medisinsk produktregulering.

En AI som lager møtereferater fra Teams er minimal risiko. Det er ingen direkte brukerinteraksjon som påvirker rettigheter.

Mønsteret er tydelig: det er autonome beslutninger i sensitive domener som løfter et system inn i høyrisiko-kategorien, ikke det faktum at systemet bruker AI eller er en chatbot.

For en vanlig kundeservice-chatbot er kravet etter artikkel 50 enkelt og praktisk gjennomførbart: brukeren skal vite at de kommuniserer med AI, ikke et menneske.

Vanlig praksis for å oppfylle dette inkluderer en tydelig åpningsmelding, for eksempel: "Hei, jeg er AI-assistenten til [bedrift]. Jeg hjelper med vanlige spørsmål og kan overføre deg til en kollega ved behov."

I tillegg bør det være et synlig AI-merke i widget-en eller chat-vinduet, samt en tydelig mulighet for brukeren til å be om menneskelig kontakt når de ønsker det.

Det er alt. Ingen samsvarsvurdering, ingen EU-registrering, ingen tung dokumentasjon.

Når trer artikkel 50 i kraft? 2. august 2026 — selv om merking av AI-generert innhold som deepfakes og generativ tekst ble utsatt til 2. desember 2026 i Digital Omnibus-forslaget.

Den foreløpige EU-avtalen fra 7. mai 2026 endrer ikke risikoklassifiseringen for chatbots. Det viktige å merke seg er at den utsetter fristene for høyrisiko-AI med over ett år — til 2. desember 2027 for frittstående systemer og 2. august 2028 for innebygde systemer.

Det betyr i praksis at hvis chatboten din faktisk er høyrisiko etter Annex III, har du mer tid til å komme i samsvar enn det som tidligere var kommunisert. Hvis den ikke er høyrisiko — og det er den ikke for de fleste — gjelder kun transparens-merkingen fra 2. august 2026.

Digital Omnibus endrer altså ikke kategoriene, bare tidslinjene for de tyngste kravene.