EU AI Act: як нове регулювання ЄС впливає на використання штучного інтелекту

EU AI Act (Акт ЄС про ШІ) — це перша масштабна рамка, яка визначає правила розробки, продажу та використання AI в Європейському Союзі. Для українського бізнесу це не «десь там у Брюсселі», а практичний фактор: якщо ви працюєте з клієнтами в ЄС, інтегруєте AI у продукти або використовуєте його в процесах (HR, скоринг, відеоспостереження, KYC тощо), регулювання штучного інтелекту ЄС може прямо зачепити ваші договори, ризики та витрати на комплаєнс.

Кому і коли це важливо в Україні

EU AI Act застосовується не лише до компаній, зареєстрованих у ЄС. Якщо ваш AI-продукт або його результати використовуються на ринку ЄС, регуляторна логіка стає дуже «вашою». Найчастіші сценарії для України:

• SaaS/продукт з AI-функціями продається клієнтам у ЄС (B2B або B2C).
• Аутсорс/аутстаф розробляє AI-модуль для європейського замовника.
• Компанія використовує AI для рішень, що впливають на людей (найм, оцінка, доступ до послуг, безпека).
• Бізнес працює у ланцюгу постачання європейської групи і отримує вимогу: «підтвердьте відповідність AI регулюванню ЄС».

Логіка EU AI Act: підхід за рівнем ризику

Ключова ідея проста: чим більше AI може нашкодити правам, безпеці або свободам людини — тим жорсткіші вимоги. Саме тому в регулюванні з’являється поняття високоризикові AI системи.

Зазвичай виділяють такі групи:

• Заборонені практики (наприклад, певні маніпулятивні або неприйнятні сценарії використання).
• Високоризикові системи (AI у критичних контекстах: працевлаштування, освіта, доступ до послуг, частина безпекових рішень тощо).
• Обмежений ризик (переважно вимоги прозорості: щоб людина розуміла, що взаємодіє з AI).
• Мінімальний ризик (для більшості буденних кейсів без спецвимог, але з очікуванням «здорової» відповідальності).

Після впровадження цих правил закон про штучний інтелект в Європі для бізнесу означає не політичний лозунг, а чек-лист вимог у тендерах, контрактах і аудитах.

Що таке високоризикові AI системи на практиці

Під високий ризик часто потрапляють рішення, де AI:

• впливає на кар’єру людини (відбір кандидатів, оцінка продуктивності, автоматизовані рекомендації щодо звільнення);
• впливає на доступ до сервісів (скоринг, антифрод, KYC, страхові рішення, кредитні ліміти);
• використовується для ідентифікації/біометрії або масового спостереження (залежно від сценарію та законних підстав);
• працює у критичних сферах (безпека, інфраструктура, певні медичні/промислові системи).

Щоб не вгадувати на око, бізнесу варто робити коротку юридично-технічну класифікацію: що саме робить AI, на кого впливає, які дані використовує, чи є автоматизоване рішення, чи є людський контроль.

Основні обов’язки: що вимагатимуть від компанії

Якщо ваш продукт або процес підпадає під EU AI Act, вам можуть знадобитися політики, технічні документи та процедури. Важливий нюанс: це не лише папери. Регулятор хоче, щоб AI був керованим і перевірюваним, а ризики — зменшувалися до прийнятного рівня.

Типові вимоги (особливо для high-risk):

• управління ризиками протягом життєвого циклу AI (від дизайну до експлуатації);
• якість даних (походження, релевантність, упередженість, репрезентативність);
• технічна документація і опис моделі/системи так, щоб її можна було оцінити;
• логування та трасованість (щоб відтворити, як система дійшла висновку);
• прозорість для користувачів і належні інструкції;
• людський нагляд (human oversight), особливо в чутливих рішеннях;
• кібербезпека та стійкість до збоїв/атак;
• моніторинг після запуску та порядок реагування на інциденти.

Саме тут відповідність AI регулюванню ЄС перетворюється на комбінацію юрпрактики + процесного менеджменту + технічної дисципліни.

Як підготуватися українському бізнесу

Почніть із прагматичного аудиту — без паніки й без зайвого героїзму. AI-комплаєнс найкраще робиться поетапно, як техогляд авто: спочатку базові речі, потім — глибший сервіс.

Рекомендований план дій:

• Зробіть інвентаризацію AI: де використовується, які дані, хто власник процесу, які постачальники/моделі.
• Проведіть класифікацію ризику (чи може бути high-risk, чи потрібна прозорість).
• Оновіть договори з клієнтами/постачальниками: ролі, відповідальність, вимоги до документації, інциденти, субпідряд.
• Впровадьте політики і процедури: data governance, model governance, human oversight, incident response.
• Підготуйте пакет доказів для аудитів/тендерів (документація, записи тестів, оцінки ризику).
• Зв’яжіть AI-комплаєнс із захистом даних (бо AI майже завжди торкається персональних даних або схожих ризиків).

Після цього варто юридично прошити процеси: щоб відповідальність не була розмитою між IT, продуктом і HR.

Ризики та штрафи: чому це не варто ігнорувати

EU AI Act передбачає значні фінансові санкції (у публічних обговореннях фігурували рівні до десятків мільйонів євро або відсотків від світового обороту — залежно від типу порушення). Але для більшості українських компаній болючішими можуть бути не штрафи, а:

• блокування угоди через комплаєнс-вимоги замовника;
• провал тендера;
• зупинка інтеграції з європейським партнером;
• репутаційний ризик після інциденту з AI.

Якщо ви продаєте або розробляєте AI-рішення для ЄС, BALTUM BUREAU може допомогти структурувати вимоги, оновити договори та підготувати пакет документів під регулювання штучного інтелекту ЄС — так, щоб комплаєнс не гальмував продукт, а підсилював довіру клієнтів.