BLOG

EU AI Act og Telekommunikation: AI i Netværk, Kundeservice og Fraud Detection

canonical_url: https://powerquant.dk/blog/eu-ai-act-telekommunikation-netværk-kundeservice-fraud-ai

Teleselskaber har i årevis anvendt kunstig intelligens til opgaver, der spænder fra automatisk netværksstyring til realtidsdetektering af svindel. Med EU AI Act, der trådte i kraft 1. august 2024, og med de centrale forpligtelser for højrisiko-AI-systemer, der får virkning fra 2. august 2026, befinder telekommunikationssektoren sig nu i et regulatorisk krydsfelt: Annex III's kategori for kritisk infrastruktur, Art. 50's gennemsigtighedskrav til chatbots og Art. 26's deployer-forpligtelser rammer alle kerneaktiviteter i et moderne teleselskab.

Denne artikel gennemgår systematisk, hvilke AI-anvendelser i telecom-sektoren der falder under hvilke risikoklasser, hvad det betyder i praksis, og hvordan danske teleselskaber bør tilrettelægge deres compliance-arbejde inden august 2026.

Er Telecom-AI Høj-Risiko? En Annex III-Analyse

EU AI Act klassificerer AI-systemer i fire kategorier: uacceptabel risiko (forbudt), høj risiko, begrænset risiko og minimal risiko. Høj-risiko-AI er defineret i Annex III til forordningen, og her er teleselskaber berørt på mindst to selvstændige måder.

Annex III, punkt 2 dækker AI-systemer, der anvendes som sikkerhedskomponenter i forvaltning og drift af kritisk infrastruktur. Definitionen af kritisk infrastruktur følger NIS2-direktivet (Direktiv 2022/2555/EU), som eksplicit inkluderer digital infrastruktur og telekommunikation.

Annex III, punkt 4 dækker AI-systemer til ansættelse, personaleledelse og adgang til selvstændig erhvervsvirksomhed — herunder systemer, der bruges til at filtrere jobansøgninger, evaluere kandidater eller træffe beslutninger om forfremmelse og afskedigelse.

For et stort teleselskab betyder det i praksis, at et enkelt AI-system kan udløse to separate høj-risiko-klassificeringer afhængigt af konteksten.

Kritisk Infrastruktur: Telenet som Annex III Kategori 2

NIS2-direktivet placerer udbydere af offentlige elektroniske kommunikationsnet og -tjenester i sektoren "digital infrastruktur" under bilag I (væsentlige enheder). Denne klassificering trækkes direkte ind i EU AI Act via Annex III, punkt 2, som omfatter AI-systemer der udgør sikkerhedskomponenter i driften af netop denne type infrastruktur.

Hvad betyder "sikkerhedskomponent" konkret for et teleselskab? Definitionen er bred. Et AI-system behøver ikke selv at være et sikkerhedssystem — det skal blot udgøre en komponent, hvis fejl ville kunne bringe sikkerheden af den kritiske infrastruktur i fare. Det inkluderer:

  • AI-styret netværkskapacitetsplanlægning, der automatisk omfordeler båndbredde og forhindrer overbelastning
  • Automatiseret fejldetektering i kerneinfrastruktur, der igangsætter failover-procedurer
  • AI-baseret routing og trafikstyring i backbone-netværk
  • Hvis disse systemer klassificeres som høj-risiko under Annex III, punkt 2, er konsekvensen klar: Teleselskabet — som deployer — skal opfylde alle krav i Kapitel III, Afdeling 3 i EU AI Act. Det gælder bl.a. krav om teknisk dokumentation, risikovurdering, menneskelig tilsyn og registrering i EU's database for højrisiko-AI-systemer.

    Et afgørende spørgsmål er, hvornår et AI-system i et teleselskab reelt "udgør en sikkerhedskomponent". Praksis er endnu ikke fuldt afklaret, men tilsynsmyndigheder (i Danmark: Erhvervsstyrelsen og potentielt VIRK som markedsovervågningsmyndighed) forventes at anlægge en bred fortolkning. Teleselskaber bør foretage en intern klassificeringsanalyse af alle AI-systemer i netværkslaget inden august 2026.

    AI i Netværksstyring og Trafikoptimering: Reguleringsovervejelser

    Moderne teleselskaber anvender i stigende grad machine learning til at forudsige trafikbelastning, optimere signalstyrke i mobilnet og automatisere netværkskonfiguration. Disse systemer opererer typisk i realtid og med minimal menneskelig indblanding.

    Spørgsmålet om, hvorvidt sådanne systemer udgør høj-risiko-AI, afhænger af en konkret vurdering. Et system, der alene optimerer kapacitetsallokering i en enkelt region uden konsekvenser for nettets samlede stabilitet, vil sandsynligvis falde uden for Annex III. Et system, der derimod automatisk kan lukke eller omdirigere trafik i et nationalt backbone-netværk som reaktion på en (potentielt fejldetekteret) cybertrussel, har betydeligt større konsekvensradius og vil med høj sandsynlighed falde inden for kategorien.

    For systemer i gråzonen anbefales en dokumenteret klassificeringsproces, der inkluderer:

  • Mapping af systemets beslutningsdomæne og konsekvensradius
  • Vurdering af menneskelig tilsynsgrad (er der override-mulighed inden for rimelig tid?)
  • Dokumentation af, om systemet er en "sikkerhedskomponent" efter NIS2-logikken
  • Risikovurdering efter Art. 9-logikken, selv hvis systemet ender i lav-risiko-kategorien
  • Fraud Detection (Svindeldetektering): Høj-Risiko eller Minimal?

    Fraud detection er en af de mest udbredte AI-anvendelser i telekommunikation. Systemer til svindeldetektering analyserer opkaldsmønstre, datanyttelast og brugeradfærd for at identificere SIM-swapping, subscription fraud, bypass-fraud og IRSF (International Revenue Share Fraud).

    Den gode nyhed for teleselskaber: Fraud detection falder typisk *ikke* under Annex III's høj-risiko-kategorier, medmindre systemet direkte driver beslutninger, der påvirker enkeltpersoners adgang til tjenester på en måde, der kan sidestilles med kreditvurdering (Annex III, punkt 5b).

    Et rent teknisk fraud detection-system, der flagger potentielt svindel til manuel revision, er sandsynligvis minimal eller begrænset risiko. Men her er en kritisk sondring: Hvis systemet automatisk blokerer en kunde, suspenderer en konto eller nægter portabilitet uden menneskelig godkendelse, nærmer det sig en beslutning om adgang til en tjenesteydelse — og dermed muligvis Annex III, punkt 5 (adgang til tjenester og ydelser, herunder finansielle tjenester).

    Derudover gælder GDPR's Art. 22 om automatiserede individuelle afgørelser, uanset AI Act-klassificering. Et fraud detection-system, der suspenderer en abonnent automatisk, kræver som minimum en mekanisme til menneskelig gennemgang og en klageprocedure.

    Praktisk anbefaling: Dokumenter klart, om fraud detection-systemets output er (a) flagning til menneskelig beslutning, (b) automatisk handling med efterfølgende menneskelig ge

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr