canonical_url: https://powerquant.dk/blog/eu-ai-act-telekommunikation-netværk-kundeservice-fraud-ai
Teleselskaber har i årevis anvendt kunstig intelligens til opgaver, der spænder fra automatisk netværksstyring til realtidsdetektering af svindel. Med EU AI Act, der trådte i kraft 1. august 2024, og med de centrale forpligtelser for højrisiko-AI-systemer, der får virkning fra 2. august 2026, befinder telekommunikationssektoren sig nu i et regulatorisk krydsfelt: Annex III's kategori for kritisk infrastruktur, Art. 50's gennemsigtighedskrav til chatbots og Art. 26's deployer-forpligtelser rammer alle kerneaktiviteter i et moderne teleselskab.
Denne artikel gennemgår systematisk, hvilke AI-anvendelser i telecom-sektoren der falder under hvilke risikoklasser, hvad det betyder i praksis, og hvordan danske teleselskaber bør tilrettelægge deres compliance-arbejde inden august 2026.
Er Telecom-AI Høj-Risiko? En Annex III-Analyse
EU AI Act klassificerer AI-systemer i fire kategorier: uacceptabel risiko (forbudt), høj risiko, begrænset risiko og minimal risiko. Høj-risiko-AI er defineret i Annex III til forordningen, og her er teleselskaber berørt på mindst to selvstændige måder.
Annex III, punkt 2 dækker AI-systemer, der anvendes som sikkerhedskomponenter i forvaltning og drift af kritisk infrastruktur. Definitionen af kritisk infrastruktur følger NIS2-direktivet (Direktiv 2022/2555/EU), som eksplicit inkluderer digital infrastruktur og telekommunikation.
Annex III, punkt 4 dækker AI-systemer til ansættelse, personaleledelse og adgang til selvstændig erhvervsvirksomhed — herunder systemer, der bruges til at filtrere jobansøgninger, evaluere kandidater eller træffe beslutninger om forfremmelse og afskedigelse.
For et stort teleselskab betyder det i praksis, at et enkelt AI-system kan udløse to separate høj-risiko-klassificeringer afhængigt af konteksten.
Kritisk Infrastruktur: Telenet som Annex III Kategori 2
NIS2-direktivet placerer udbydere af offentlige elektroniske kommunikationsnet og -tjenester i sektoren "digital infrastruktur" under bilag I (væsentlige enheder). Denne klassificering trækkes direkte ind i EU AI Act via Annex III, punkt 2, som omfatter AI-systemer der udgør sikkerhedskomponenter i driften af netop denne type infrastruktur.
Hvad betyder "sikkerhedskomponent" konkret for et teleselskab? Definitionen er bred. Et AI-system behøver ikke selv at være et sikkerhedssystem — det skal blot udgøre en komponent, hvis fejl ville kunne bringe sikkerheden af den kritiske infrastruktur i fare. Det inkluderer:
- AI-styret netværkskapacitetsplanlægning, der automatisk omfordeler båndbredde og forhindrer overbelastning
- Automatiseret fejldetektering i kerneinfrastruktur, der igangsætter failover-procedurer
- AI-baseret routing og trafikstyring i backbone-netværk
Hvis disse systemer klassificeres som høj-risiko under Annex III, punkt 2, er konsekvensen klar: Teleselskabet — som deployer — skal opfylde alle krav i Kapitel III, Afdeling 3 i EU AI Act. Det gælder bl.a. krav om teknisk dokumentation, risikovurdering, menneskelig tilsyn og registrering i EU's database for højrisiko-AI-systemer.
Et afgørende spørgsmål er, hvornår et AI-system i et teleselskab reelt "udgør en sikkerhedskomponent". Praksis er endnu ikke fuldt afklaret, men tilsynsmyndigheder (i Danmark: Erhvervsstyrelsen og potentielt VIRK som markedsovervågningsmyndighed) forventes at anlægge en bred fortolkning. Teleselskaber bør foretage en intern klassificeringsanalyse af alle AI-systemer i netværkslaget inden august 2026.
AI i Netværksstyring og Trafikoptimering: Reguleringsovervejelser
Moderne teleselskaber anvender i stigende grad machine learning til at forudsige trafikbelastning, optimere signalstyrke i mobilnet og automatisere netværkskonfiguration. Disse systemer opererer typisk i realtid og med minimal menneskelig indblanding.
Spørgsmålet om, hvorvidt sådanne systemer udgør høj-risiko-AI, afhænger af en konkret vurdering. Et system, der alene optimerer kapacitetsallokering i en enkelt region uden konsekvenser for nettets samlede stabilitet, vil sandsynligvis falde uden for Annex III. Et system, der derimod automatisk kan lukke eller omdirigere trafik i et nationalt backbone-netværk som reaktion på en (potentielt fejldetekteret) cybertrussel, har betydeligt større konsekvensradius og vil med høj sandsynlighed falde inden for kategorien.
For systemer i gråzonen anbefales en dokumenteret klassificeringsproces, der inkluderer:
- Mapping af systemets beslutningsdomæne og konsekvensradius
- Vurdering af menneskelig tilsynsgrad (er der override-mulighed inden for rimelig tid?)
- Dokumentation af, om systemet er en "sikkerhedskomponent" efter NIS2-logikken
- Risikovurdering efter Art. 9-logikken, selv hvis systemet ender i lav-risiko-kategorien
Fraud Detection (Svindeldetektering): Høj-Risiko eller Minimal?
Fraud detection er en af de mest udbredte AI-anvendelser i telekommunikation. Systemer til svindeldetektering analyserer opkaldsmønstre, datanyttelast og brugeradfærd for at identificere SIM-swapping, subscription fraud, bypass-fraud og IRSF (International Revenue Share Fraud).
Den gode nyhed for teleselskaber: Fraud detection falder typisk *ikke* under Annex III's høj-risiko-kategorier, medmindre systemet direkte driver beslutninger, der påvirker enkeltpersoners adgang til tjenester på en måde, der kan sidestilles med kreditvurdering (Annex III, punkt 5b).
Et rent teknisk fraud detection-system, der flagger potentielt svindel til manuel revision, er sandsynligvis minimal eller begrænset risiko. Men her er en kritisk sondring: Hvis systemet automatisk blokerer en kunde, suspenderer en konto eller nægter portabilitet uden menneskelig godkendelse, nærmer det sig en beslutning om adgang til en tjenesteydelse — og dermed muligvis Annex III, punkt 5 (adgang til tjenester og ydelser, herunder finansielle tjenester).
Derudover gælder GDPR's Art. 22 om automatiserede individuelle afgørelser, uanset AI Act-klassificering. Et fraud detection-system, der suspenderer en abonnent automatisk, kræver som minimum en mekanisme til menneskelig gennemgang og en klageprocedure.
Praktisk anbefaling: Dokumenter klart, om fraud detection-systemets output er (a) flagning til menneskelig beslutning, (b) automatisk handling med efterfølgende menneskelig gennemgang, eller (c) en fuldautomatisk afgørelse uden menneskelig indgriben. Klassificeringen er afgørende, fordi den bestemmer, hvordan kravet om menneskeligt tilsyn i artikel 14 skal indfries i praksis, og hvor hurtigt et fejlbehæftet output kan stoppes.