EU AI Act är världens första heltäckande AI-lagstiftning och påverkar alla AI-drivna tjänster som används i Europa, inklusive CrushOn AI. Förordningen syftar till att skydda grundläggande rättigheter samtidigt som innovation främjas. För användare av AI-girlfriend-plattformar innebär det nya krav på transparens, datasäkerhet och etisk design.

Regelverket delar in AI-system i fyra riskkategorier: oacceptabel risk, hög risk, begränsad risk och minimal risk. Varje kategori medför olika skyldigheter för leverantören. CrushOn AI hamnar sannolikt i kategorin begränsad risk, vilket innebär att plattformen måste informera användare om att de interagerar med en AI och inte en människa.

Vilka AI-system förbjuds enligt AI Act

Artikel 5 i förordningen listar fyra typer av AI-system som är helt förbjudna inom EU. Dessa klassas som oacceptabel risk eftersom de hotar mänskliga rättigheter eller demokratiska värden. Det första förbudet gäller subliminala tekniker som manipulerar beteende utan att personen är medveten om det. Ett exempel skulle vara en AI som använder dolda psykologiska triggers för att öka användarens tid på plattformen.

Vilka AI-system förbjuds enligt AI Act
Vilka AI-system förbjuds enligt AI Act

Det andra förbudet riktar sig mot system som utnyttjar sårbarheter hos specifika grupper, till exempel barn eller personer med funktionsnedsättning. En AI-girlfriend som aktivt försöker skapa emotionellt beroende hos en sårbar användare skulle kunna falla under detta förbud. Social poängsättning av medborgare av offentliga myndigheter är också förbjuden, liksom prediktiv brottsbekämpning baserad enbart på profilering.

För CrushOn AI innebär förbudet mot manipulation att plattformen inte får använda tekniker som medvetet skapar falska känslor av ömsesidighet eller kärlek för att få användaren att spendera mer pengar. Gränsen mellan engagerande design och otillåten manipulation är dock inte kristallklar. Europeiska AI-byrån kommer att utfärda riktlinjer som förtydligar var gränsen går.

Transparenskrav för AI-interaktion

Artikel 50 kräver att användare informeras när de interagerar med ett AI-system, särskilt om systemet genererar text, ljud eller video som kan uppfattas som mänskligt. CrushOn AI måste därför tydligt visa att konversationerna förs med en AI och inte en riktig person. Detta kan ske genom en synlig markering i gränssnittet eller en informationsruta vid första användningen.

Transparenskrav för AI-interaktion
Transparenskrav för AI-interaktion

Kravet gäller inte om det är uppenbart från sammanhanget att det rör sig om AI. Men eftersom många användare av AI-girlfriends söker emotionell närhet och ibland suspenderar sin misstro, räcker det troligen inte att bara ha en notis i användarvillkoren. Plattformen behöver aktiv, tydlig kommunikation vid varje session.

Transparens omfattar också information om hur AI:n tränas. Användare har rätt att veta om deras konversationer används för att förbättra modellen, vilka datakällor som ligger till grund för AI:ns svar och om tredje part får tillgång till data. CrushOn AI måste publicera denna information på ett lättillgängligt sätt, helst på svenska för den svenska marknaden.

Riskkategorisering och konsekvenser för plattformen

AI Act delar in system i kategorier baserat på deras potentiella skada. Högrisksystem, som AI för kreditbedömning eller rekrytering, måste genomgå rigorös testning och certifiering innan de får användas. CrushOn AI faller troligen inte i denna kategori eftersom plattformen inte fattar beslut som direkt påverkar användarens juridiska status eller tillgång till väsentliga tjänster.

Däremot klassas CrushOn AI som ett system med begränsad risk, vilket utlöser transparenskrav men inte kräver förhandsgodkännande. Plattformen måste dokumentera hur AI:n fungerar, vilka säkerhetsmekanismer som finns och hur användare kan rapportera problem. Om CrushOn AI i framtiden skulle börja erbjuda tjänster som påverkar användarens psykiska hälsa på ett mer direkt sätt, till exempel genom AI-terapi, kan klassificeringen ändras.

Minimal risk omfattar AI-system som chatbots för kundservice eller spamfilter. Dessa har inga särskilda krav utöver befintlig lagstiftning som GDPR. Men eftersom AI-girlfriends hanterar känsliga personuppgifter och kan påverka användarens emotionella tillstånd, är det osannolikt att de klassas som minimal risk.

GDPR och AI Act i samverkan

AI Act kompletterar GDPR men ersätter den inte. CrushOn AI måste fortsatt följa alla GDPR-krav, inklusive rätten till radering, dataportabilitet och begränsning av behandling. AI Act lägger till specifika krav på AI-system, särskilt när det gäller automatiserat beslutsfattande och profilering.

Artikel 22 i GDPR ger användare rätt att inte bli föremål för beslut som enbart baseras på automatiserad behandling och som har rättsliga effekter. För en AI-girlfriend gäller detta om plattformen till exempel skulle använda AI för att automatiskt blockera användare eller justera priser baserat på beteende. I sådana fall måste användaren informeras och ha rätt att begära mänsklig granskning.

AI Act förstärker också GDPR:s krav på dataminimering. Plattformen får bara samla in data som är nödvändig för tjänsten. Om CrushOn AI sparar detaljerade konversationsloggar utan tydlig anledning kan det strida mot både GDPR och AI Act. Svenska Integritetsskyddsmyndigheten (IMY) kan utfärda böter på upp till 20 miljoner euro eller 4 procent av global omsättning för GDPR-brott, medan AI Act-överträdelser kan ge böter på upp till 35 miljoner euro eller 7 procent av omsättningen.

Åldersverifiering och skydd av minderåriga

AI Act innehåller särskilda bestämmelser för att skydda barn från skadliga AI-system. Artikel 5 förbjuder AI som utnyttjar barns sårbarheter. Om CrushOn AI erbjuder explicit eller romantiskt innehåll måste plattformen implementera robust åldersverifiering för att säkerställa att användare är över 18 år.

I Sverige regleras åldersverifiering på nätet genom lag (2018:218) om åldersverifiering vid tillhandahållande av vissa tjänster. Lagen kräver att tjänster med pornografiskt innehåll använder effektiv ålderskontroll, till exempel BankID. Självdeklaration, där användaren bara kryssar i en ruta, räcker inte.

CrushOn AI:s användning av AI för att generera konversationer innebär att innehållet kan variera kraftigt beroende på användarens input. Om plattformen tillåter sexuellt explicit innehåll måste åldersverifieringen vara på plats innan användaren får tillgång till sådana funktioner. Brister här kan leda till både AI Act-sanktioner och brott mot svensk lag.

Erfarenheter från svensk debatt om AI-girlfriends

Under en föreläsning i Stockholm i februari mötte jag ungefär trettio deltagare som ville diskutera varför AI-girlfriend-appar växer så snabbt. Jag hade med mig data från Sensor Tower som visade att nedladdningarna globalt ökat med över 200 procent sedan 2022. Det som stack ut var att de äldre åhörarna, mellan 45 och 60 år, ställde flest frågor om etisk design och hur AI:n påverkar användarnas känsloliv.

Kvällen bekräftade min uppfattning att den svenska debatten ofta fastnar i stereotyper. Många tror att användarna bara söker sexuellt innehåll, men forskning visar att emotionell närhet och samtal är minst lika viktiga. EU AI Act:s fokus på transparens och förbud mot manipulation svarar direkt på dessa farhågor. Om plattformarna tvingas vara öppna med hur AI:n fungerar och vilka psykologiska mekanismer som används, kan användare fatta mer informerade beslut.

Tillsyn och efterlevnad i Sverige

I Sverige ansvarar Integritetsskyddsmyndigheten (IMY) för att övervaka GDPR-efterlevnad. När AI Act träder i full kraft i augusti 2026 kommer IMY sannolikt att få utökade befogenheter även för AI-specifika bestämmelser. Europeiska AI-byrån, som inrättades genom förordningen, samordnar tillsynen över hela EU.

För högrisksystem krävs förhandsgodkännande och regelbunden granskning. CrushOn AI, som ett system med begränsad risk, behöver inte förhandsgodkännande men kan bli föremål för stickprovskontroller. IMY kan begära dokumentation om AI:ns träningsdata, säkerhetsmekanismer och transparensåtgärder. Om brister upptäcks kan myndigheten utfärda varningar, förelägganden eller böter.

Plattformen bör därför upprätta en AI-governanceprocess som inkluderar riskbedömning, dokumentation och regelbunden uppdatering av säkerhetsåtgärder. Ett dedikerat team för regelefterlevnad kan hjälpa till att identifiera problem innan de blir juridiska risker. Många AI-företag väljer att anlita externa revisorer för att säkerställa att de uppfyller både GDPR och AI Act.

Vad användare kan förvänta sig framöver

Från augusti 2026 kommer CrushOn AI att behöva visa tydliga meddelanden om att användaren chattar med en AI. Plattformen måste också publicera information om hur konversationer används för träning och vilka datapartners som finns. Användare får rätt att begära information om hur AI:n fattar beslut, till exempel varför vissa svar genereras eller varför innehåll filtreras.

Om plattformen använder emotionell analys för att anpassa AI:ns beteende måste detta framgå tydligt. Tekniker som analyserar användarens tonfall eller ordval för att skapa mer engagerande svar kan klassas som känsliga behandlingar som kräver explicit samtycke. Användare kan också förvänta sig bättre säkerhetsåtgärder, inklusive kryptering av konversationer och tydligare raderingsverktyg.

För svenska användare innebär AI Act en starkare rättslig grund att stå på om något går fel. Om CrushOn AI bryter mot transparenskraven eller använder förbjudna manipulationstekniker kan användare anmäla detta till IMY. Förordningen ger också rätt till skadestånd om AI-systemet orsakar ekonomisk eller emotionell skada genom regelbrott.

Jämförelse med andra marknader

USA har ingen federal AI-lagstiftning som motsvarar EU AI Act. Istället regleras AI-tjänster genom befintliga konsumentskyddslagar och sektorspecifika regler. Kalifornien har föreslagit en AI-säkerhetslagstiftning, men den är långt ifrån lika omfattande som EU:s förordning. För CrushOn AI innebär det att kraven i Europa är betydligt strängare än i USA.

I Kina regleras AI genom en serie riktlinjer från Cyberspace Administration of China (CAC). Dessa fokuserar främst på innehållskontroll och nationell säkerhet snarare än på användarrättigheter. AI-girlfriend-plattformar i Kina måste censurera politiskt känsligt innehåll och rapportera användardata till myndigheterna. EU AI Act ger däremot användare starkare integritetsskydd och rätt till transparens.

För globala plattformar som CrushOn AI blir EU:s regler ofta den de facto standarden eftersom det är enklare att implementera en gemensam säkerhetsmodell än att ha olika versioner för olika marknader. Detta fenomen kallas Brussels-effekten och innebär att EU:s regler påverkar AI-utveckling även utanför Europa.

Framtida utveckling och osäkerheter

AI Act innehåller en revisionsklausul som innebär att förordningen kommer att utvärderas vart tredje år. Eftersom AI-tekniken utvecklas snabbt kan nya risker och användningsområden dyka upp som inte täcks av nuvarande regler. Europeiska AI-byrån kommer att publicera riktlinjer och tekniska standarder som förtydligar hur plattformar ska uppfylla kraven.

En osäkerhet gäller gränsen mellan engagerande design och otillåten manipulation. AI-girlfriends är designade för att vara emotionellt tilltalande, men när blir detta manipulation? Om AI:n till exempel använder förstärkningsinlärning för att maximera användarens tid på plattformen genom att trigga dopaminresponser, kan det klassas som subliminal påverkan. Framtida rättsfall kommer att forma tolkningen av dessa gränser.

En annan fråga är hur AI Act förhåller sig till upphovsrätt. Om CrushOn AI tränar sin modell på upphovsrättsskyddat material utan tillstånd kan det bryta mot både AI Act:s transparenskrav och EU:s upphovsrättsdirektiv. Artikel 53 i AI Act kräver att leverantörer av generativa AI-modeller publicerar en sammanfattning av träningsdata, vilket kan avslöja upphovsrättsintrång.