canonical_url: https://powerquant.dk/blog/eu-ai-act-telekommunikation-netværk-kundeservice-fraud-ai
Teleselskaber har i årevis anvendt kunstig intelligens til opgaver, der spænder fra automatisk netværksstyring til realtidsdetektering af svindel. Med EU AI Act, der trådte i kraft 1. august 2024, og med de centrale forpligtelser for højrisiko-AI-systemer, der får virkning fra 2. august 2026, befinder telekommunikationssektoren sig nu i et regulatorisk krydsfelt: Annex III's kategori for kritisk infrastruktur, Art. 50's gennemsigtighedskrav til chatbots og Art. 26's deployer-forpligtelser rammer alle kerneaktiviteter i et moderne teleselskab.
Denne artikel gennemgår systematisk, hvilke AI-anvendelser i telecom-sektoren der falder under hvilke risikoklasser, hvad det betyder i praksis, og hvordan danske teleselskaber bør tilrettelægge deres compliance-arbejde inden august 2026.
Er Telecom-AI Høj-Risiko? En Annex III-Analyse
EU AI Act klassificerer AI-systemer i fire kategorier: uacceptabel risiko (forbudt), høj risiko, begrænset risiko og minimal risiko. Høj-risiko-AI er defineret i Annex III til forordningen, og her er teleselskaber berørt på mindst to selvstændige måder.
Annex III, punkt 2 dækker AI-systemer, der anvendes som sikkerhedskomponenter i forvaltning og drift af kritisk infrastruktur. Definitionen af kritisk infrastruktur følger NIS2-direktivet (Direktiv 2022/2555/EU), som eksplicit inkluderer digital infrastruktur og telekommunikation.
Annex III, punkt 4 dækker AI-systemer til ansættelse, personaleledelse og adgang til selvstændig erhvervsvirksomhed — herunder systemer, der bruges til at filtrere jobansøgninger, evaluere kandidater eller træffe beslutninger om forfremmelse og afskedigelse.
For et stort teleselskab betyder det i praksis, at et enkelt AI-system kan udløse to separate høj-risiko-klassificeringer afhængigt af konteksten.
Kritisk Infrastruktur: Telenet som Annex III Kategori 2
NIS2-direktivet placerer udbydere af offentlige elektroniske kommunikationsnet og -tjenester i sektoren "digital infrastruktur" under bilag I (væsentlige enheder). Denne klassificering trækkes direkte ind i EU AI Act via Annex III, punkt 2, som omfatter AI-systemer der udgør sikkerhedskomponenter i driften af netop denne type infrastruktur.
Hvad betyder "sikkerhedskomponent" konkret for et teleselskab? Definitionen er bred. Et AI-system behøver ikke selv at være et sikkerhedssystem — det skal blot udgøre en komponent, hvis fejl ville kunne bringe sikkerheden af den kritiske infrastruktur i fare. Det inkluderer:
Hvis disse systemer klassificeres som høj-risiko under Annex III, punkt 2, er konsekvensen klar: Teleselskabet — som deployer — skal opfylde alle krav i Kapitel III, Afdeling 3 i EU AI Act. Det gælder bl.a. krav om teknisk dokumentation, risikovurdering, menneskelig tilsyn og registrering i EU's database for højrisiko-AI-systemer.
Et afgørende spørgsmål er, hvornår et AI-system i et teleselskab reelt "udgør en sikkerhedskomponent". Praksis er endnu ikke fuldt afklaret, men tilsynsmyndigheder (i Danmark: Erhvervsstyrelsen og potentielt VIRK som markedsovervågningsmyndighed) forventes at anlægge en bred fortolkning. Teleselskaber bør foretage en intern klassificeringsanalyse af alle AI-systemer i netværkslaget inden august 2026.
AI i Netværksstyring og Trafikoptimering: Reguleringsovervejelser
Moderne teleselskaber anvender i stigende grad machine learning til at forudsige trafikbelastning, optimere signalstyrke i mobilnet og automatisere netværkskonfiguration. Disse systemer opererer typisk i realtid og med minimal menneskelig indblanding.
Spørgsmålet om, hvorvidt sådanne systemer udgør høj-risiko-AI, afhænger af en konkret vurdering. Et system, der alene optimerer kapacitetsallokering i en enkelt region uden konsekvenser for nettets samlede stabilitet, vil sandsynligvis falde uden for Annex III. Et system, der derimod automatisk kan lukke eller omdirigere trafik i et nationalt backbone-netværk som reaktion på en (potentielt fejldetekteret) cybertrussel, har betydeligt større konsekvensradius og vil med høj sandsynlighed falde inden for kategorien.
For systemer i gråzonen anbefales en dokumenteret klassificeringsproces, der inkluderer:
Fraud Detection (Svindeldetektering): Høj-Risiko eller Minimal?
Fraud detection er en af de mest udbredte AI-anvendelser i telekommunikation. Systemer til svindeldetektering analyserer opkaldsmønstre, datanyttelast og brugeradfærd for at identificere SIM-swapping, subscription fraud, bypass-fraud og IRSF (International Revenue Share Fraud).
Den gode nyhed for teleselskaber: Fraud detection falder typisk *ikke* under Annex III's høj-risiko-kategorier, medmindre systemet direkte driver beslutninger, der påvirker enkeltpersoners adgang til tjenester på en måde, der kan sidestilles med kreditvurdering (Annex III, punkt 5b).
Et rent teknisk fraud detection-system, der flagger potentielt svindel til manuel revision, er sandsynligvis minimal eller begrænset risiko. Men her er en kritisk sondring: Hvis systemet automatisk blokerer en kunde, suspenderer en konto eller nægter portabilitet uden menneskelig godkendelse, nærmer det sig en beslutning om adgang til en tjenesteydelse — og dermed muligvis Annex III, punkt 5 (adgang til tjenester og ydelser, herunder finansielle tjenester).
Derudover gælder GDPR's Art. 22 om automatiserede individuelle afgørelser, uanset AI Act-klassificering. Et fraud detection-system, der suspenderer en abonnent automatisk, kræver som minimum en mekanisme til menneskelig gennemgang og en klageprocedure.
Praktisk anbefaling: Dokumenter klart, om fraud detection-systemets output er (a) flagning til menneskelig beslutning, (b) automatisk handling med efterfølgende menneskelig ge