Як суттєво впливатиме закон про штучний інтелект ЄС на ваш бізнес?

Як нові положення набули чинності, ось що компанії повинні знати про дотримання вимог

2 лютого 2025 року став першим великим етапом у впровадженні Закону про штучний інтелект Європейського Союзу, з положеннями, які забороняють заборонені практики штучного інтелекту та вимагають від організацій забезпечити свої працівники достатніми знаннями, навичками та розумінням того, як працює штучний інтелект, його ризики та переваги (грамотність штучного інтелекту). Тепер 2 серпня 2025 року став ще одним критичним етапом, оскільки зобов’язання щодо моделей штучного інтелекту загального призначення набули чинності.

Закон про штучний інтелект застосовується до тих, хто продає, імпортує або надає системи штучного інтелекту або моделі штучного інтелекту загального призначення в ЄС, незалежно від того, де вони розташовані. Він також застосовується до компаній, розташовanych в ЄС, які використовують системи штучного інтелекту або моделі.

Хоча компанії справді турбуються про відповідальність за дотримання вимог штучного інтелекту, реальність для більшості підприємств буде менш драматичною, ніж положення можуть здатися на перший погляд.

Як людина, яка керує глобальною компанією, яка широко використовує штучний інтелект у нашій платформі документального управління, мені довелося впорсися з цією регуляцією вперше. Правда в тому, що для більшості підприємств Закон про штучний інтелект значно більш керований, ніж може здатися спочатку — подібно до того, як GDPR здавався перевантаженим з американської точки зору, але виявився працездатним, коли ви зрозуміли принципи.

Але на відміну від GDPR, який мав єдину дату реалізації, Закон про штучний інтелект вводиться в дію поетапно. З штрафами до 35 мільйонів євро або 7% від загального обороту, і однієї критичної хвилі виконання позаду нас, а іншої великої дати попереду, правильна стратегія дотримання вимог є обов’язковою.

Де ми зараз на хронології

Станом на серпень 2025 року зобов’язання щодо моделей штучного інтелекту загального призначення тепер діють — і це впливає на значно більше компаній, ніж більшість розуміють. Якщо ви використовуєте базові моделі, такі як GPT-5, Claude або Llama у ваших продуктах, ви можете успадкувати обов’язки щодо дотримання вимог, навіть якщо ви вважаєте себе лише “користувачем” моделі.

Зобов’язання включають демонстрацію відповідності законодавства про авторське право щодо навчальних даних, проведення тестування на витривалість щодо безпеки, впровадження надійних заходів безпеки та надання детальної технічної документації щодо можливостей і обмежень моделі.

Багато компаній SaaS припускають, що вони звільнені, оскільки вони не розробляють моделі з нуля. Але якщо ви займаєтеся певним доопрацюванням або іншим чином модифікуєте моделі, ви можете виявитися під зобов’язаннями щодо моделей штучного інтелекту загального призначення. Лінія між “використанням” і “наданням” систем штучного інтелекту є свідомо широкою в регуляції.

2 серпня 2026 року — це велика дата, на яку слід звернути увагу. До цієї дати системи штучного інтелекту, класифіковані як “високоризикові”, повинні відповідати всебічним вимогам щодо дотримання вимог. Обсяг є ширшим, ніж багато підприємств очікує, а зобов’язання є суттєвими.

Класифікації високого ризику включають системи, які використовуються для підбору персоналу та прийняття на роботу, кредитного скорингу та прийняття фінансових рішень, освітньої оцінки, медичної діагностики, критичної інфраструктури та застосування в правоохоронних органах. Якщо ваш інструмент штучного інтелекту допомагає визначати, хто отримує роботу, затвердження на кредит, прийняття до програм або діагностування захворювань, ви, ймовірно, підпадаєте під дію законодавства.

Є тягар, пов’язаний з цим. Вам потрібно буде мати всебічні системи управління ризиками з постійним моніторингом, технічна документація, яка доводить безпеку та надійність вашої системи, стандарти якості даних з аудиторською перевіркою цілісності навчальних даних, автоматичне протоколювання всіх рішень та операцій системи, суттєвий нагляд людини з можливістю втручання в режимі реального часу, та маркування CE з оцінкою відповідності третьою стороною.

Це не тільки про додавання застереження на ваш сайті. Системи високого ризику вимагають типу систем управління якістю, які зазвичай зустрічаються у виробництві медичних приладів або систем безпеки автомобілів.

Розуміння категорій ризику

Закон про штучний інтелект діє на основі чотирирівневого підходу, заснованого на ризику, який є більш нюансованим, ніж багато хто розуміє.

• Неприйнятний ризик (Заборонено): Ці застосування штучного інтелекту заборонені зовсім – соціальні системи оцінки, маніпулятивний штучний інтелект, спрямований на вразливі групи, розпізнавання біометричних даних у громадських місцях (з обмеженими винятками для правоохоронних органів), та розпізнавання емоцій на робочих місцях або в школах.
• Високий ризик (Суворо регульований, але дозволений): Це місце, де багато підприємств сприймають несподіваність. Як згадувалося вище, високоризикові застосування включають інструменти підбору персоналу та прийняття на роботу, системи кредитного скорингу та прийняття кредитних рішень, медичні діагностичні пристрої, системи безпеки у транспорту (автономні транспортні засоби, управління рухом), інструменти освітньої оцінки, застосування в правоохоронних органах та управління критичної інфраструктури.
• Обмежений ризик (Транспарентність потрібна): ці системи в основному включають штучний інтелект, який взаємодіє безпосередньо з людьми або генерує контент, який може бути прийнятий за матеріал, створений людиною. Це включає чат-боти, віртуальних помічників та системи штучного інтелекту, які створюють синтетичні медіа, такі як глибокі підробки або маніпульовані зображення та відео. Для цих застосунків основним регуляторним вимогам є прозорість – користувачі повинні бути явно інформовані, коли вони взаємодіють з системою штучного інтелекту, а не з людиною, або коли контент був штучно створений.
• Мінімальний ризик: Більшість застосунків штучного інтелекту потрапляють у категорію мінімального ризику, яка охоплює системи, які становлять мало загрози для фундаментальних прав або безпеки. Це включає загальні бізнес-інструменти, такі як фільтри спаму, системи управління запасами, базові платформи аналітики, рекомендаційні двигуни для контенту або продуктів, та автоматизоване маршрутизацію клієнтського сервісу. Для систем мінімального ризику немає суттєвих регуляторних зобов’язань згідно з Законом про штучний інтелект, окрім загальних вимог, таких як грамотність штучного інтелекту для працівників.

Якщо ви потрапляєте у категорію “Неприйнятний або Високий ризик”, прозорість сама по собі не вирішить проблему. Якщо ви потрапляєте в будь-яку іншу категорію, вимоги щодо дотримання вимог є керованими.

Ефект хвилі моделей штучного інтелекту загального призначення

Минулий термін GPAI у серпні 2025 року заслуговує особливої уваги, оскільки він створює ефект хвилі у всьому екосистемі штучного інтелекту. Постачальники моделей штучного інтелекту загального призначення, такі як OpenAI, Anthropic та Meta, мали впровадити нові заходи щодо дотримання вимог, а ці вимоги передаються вниз по течії їхнім клієнтам підприємств.

Якщо ви будуєте на основі цих моделей, вам потрібно буде зрозуміти позицію вашого постачальника щодо дотримання вимог та те, як це впливає на ваші зобов’язання. Деякі постачальники моделей можуть обмежувати певні випадки використання, інші можуть передавати витрати на дотримання вимог у вигляді вищої ціни або нових рівнів сервісу.

Компаніям слід провести аудит ланцюга постачання штучного інтелекту зараз, якщо вони ще не зробили цього. Документуйте, які моделі ви використовуєте, як ви їх налаштовуєте, та які дані проходять через них. Цей інвентар буде критично важливим для розуміння ваших поточних зобов’язань щодо моделей штучного інтелекту загального призначення та підготовки до вимог систем високого ризику у 2026 році.

Виходячи вперед

Закон про штучний інтелект представляє перший у світі комплексний регуляторний акт щодо штучного інтелекту, і ми зараз знаходимося в середині його поетапного впровадження. З зобов’язаннями щодо моделей штучного інтелекту загального призначення, які зараз діють, та великою датою високоризикових систем, яка наближається у серпні 2026 року, компанії, які вважали GDPR тягарем, пропустили можливість перетворити приватність на диференціатор. Не повторюйте ту саму помилку з управлінням штучним інтелектом.

Бізнеси, які будуть боротися найбільше, це ті, які будуть спіймані непідготовленими, коли виконання посилиться. Ті, хто будує відповідально сьогодні, виявлять, що дотримання вимог підвищує, а не гальмує їхню стратегію штучного інтелекту. Все ще є час вийти вперед з кривою — але вікно швидко закривається.