EU AI Act: що бізнесу потрібно знати про нові правила щодо ШІ

  • автор Ilona K.
EU AI Act: що бізнесу потрібно знати про нові правила щодо ШІ

Зміст

  1. Що таке EU AI Act
  2. На кого поширюється EU AI Act?
  3. Коли вимоги EU AI Act набувають чинності
  4. Поширені запитання

У міру поширення штучного інтелекту (ШІ) з'являються нові регуляторні норми, які визначають, як компанії можуть розробляти й використовувати технології ШІ. Один із ключових документів – EU AI Act (закон Європейського Союзу, що регулює розроблення та використання систем ШІ й у деяких випадках поширюється також на компанії за межами ЄС). Розгляньмо, що він регулює, на кого поширюється та як бізнес може до нього підготуватися.

Що таке EU AI Act

EU AI Act – перший комплексний закон Європейського Союзу, що регулює використання штучного інтелекту.

Його мета – створити єдині правила для розроблення та використання ШІ, водночас підтримуючи технологічний розвиток і зменшуючи потенційні ризики для суспільства. Цей акт є лише одним із елементів ширшої стратегії ЄС із розвитку надійного й орієнтованого на людину штучного інтелекту, зокрема AI Continental Action Plan, AI Innovation Package та запуску AI Factories (інфраструктури для розроблення та впровадження штучного інтелекту). Разом ці ініціативи покликані не лише забезпечити безпеку й захист основоположних прав, а й стимулювати інвестиції, інновації та ширше впровадження ШІ в ЄС.

Акт ґрунтується на ризик-орієнтованому підході. Це означає: що вища ймовірність того, що система ШІ може вплинути на безпеку, права або інтереси людей, то суворіші вимоги до неї висуваються. Тому AI Act не встановлює однакових правил для всіх систем ШІ. Натомість їх поділено на чотири категорії ризику, кожна з яких має власні вимоги:

Джерело: Європейська комісія

1. Неприйнятний ризик

До цієї категорії належать системи ШІ, використання яких заборонене, оскільки вони становлять загрозу безпеці або основоположним правам людини. Ідеться, зокрема, про системи соціального рейтингу; технології, що використовують ШІ для маніпулювання поведінкою людей або експлуатації їхніх вразливостей; розпізнавання емоцій на робочому місці та в закладах освіти; а також окремі види біометричної ідентифікації в громадських місцях. Заборона таких практик набула чинності в лютому 2025 року.

2. Високий ризик

До цієї категорії належать системи ШІ, які можуть суттєво впливати на життя людей, зокрема рішення, що використовуються в освіті, охороні здоров'я, працевлаштуванні, критичній інфраструктурі, правоохоронній діяльності, міграції та оцінюванні кредитоспроможності.

AI Act встановлює для таких систем найсуворіші вимоги. Вони включають управління ризиками, використання якісних даних, ведення технічної документації, забезпечення людського нагляду, а також дотримання вимог щодо надійності, точності та кібербезпеки.

Приклад того, як Акт працює для постачальників систем ШІ високого ризику. Джерело: Європейська комісія

3. Обмежений ризик

Ця категорія зосереджена на прозорості використання ШІ. Наприклад, користувачі мають розуміти, коли взаємодіють із системою ШІ, зокрема з чатботом. Крім того, певний контент, створений за допомогою ШІ, включно з дипфейками, має бути відповідно позначений. Більшість вимог щодо прозорості застосовуватимуться з серпня 2026 року.

4. Мінімальний ризик або його відсутність

Більшість застосувань ШІ належить саме до цієї категорії. Сюди входять спам-фільтри, ШІ у відеоіграх і багато інших повсякденних інструментів. AI Act не встановлює додаткових обов'язкових вимог для таких застосувань.

Такий підхід дає змогу безперешкодно розвивати технології там, де потенційні ризики мінімальні, і водночас встановлює суворіші вимоги до випадків використання ШІ, які можуть впливати на безпеку або основоположні права людини.

На кого поширюється EU AI Act?

Джерело: Pexels

Вимоги AI Act поширюються не лише на компанії, що створюють LLM або інші системи ШІ. На практиці закон може зачепити значно ширше коло організацій, адже ШІ вже став частиною багатьох цифрових продуктів і бізнес-процесів.

Компанії можуть використовувати ШІ як усередині організації, так і через сторонні рішення, інтегровані у вебсайти, продукти або внутрішні системи. Це може бути чатбот служби підтримки, який відповідає на запитання клієнтів, рекомендаційна система, що допомагає користувачам знайти потрібний продукт чи послугу, інструмент для створення контенту або рішення для аналізу підозрілої активності.

Сам факт використання ШІ не означає автоматично, що компанія підпадає під усі вимоги EU AI Act. Обов'язки залежать від ролі, яку організація відіграє у використанні ШІ, конкретного інструмента та того, чи належить він до категорій, які регулює закон.

Чому це важливо для міжнародного бізнесу

Ключова особливість EU AI Act – його екстериторіальна дія.

Якщо організація пропонує товари чи послуги користувачам у Європейському Союзі або результати роботи її систем ШІ використовуються в ЄС, окремі положення закону можуть поширюватися на таку компанію незалежно від країни її реєстрації.

Саме тому AI Act уже викликає інтерес далеко за межами європейського ринку.

Міжнародна компанія може використовувати ШІ для автоматизації клієнтської підтримки, обробки звернень клієнтів або персоналізації послуг. Якщо клієнти в країнах ЄС користуються такими можливостями, компанії варто оцінити, які саме правові вимоги можуть застосовуватися до цих сценаріїв використання ШІ.

Це не означає, що будь-який бізнес, який працює з європейськими клієнтами, має автоматично виконувати всі положення AI Act. Втім, ігнорувати новий закон лише тому, що компанія зареєстрована за межами Європейського Союзу, вже не вийде.

Чому це важливо для доменної індустрії

Доменна індустрія також активно впроваджує ШІ.

Сьогодні ШІ допомагає користувачам знаходити вільні доменні імена, пропонує альтернативи на основі ключових слів або описів проєктів, автоматизує клієнтську підтримку та аналізує запити клієнтів.

Штучний інтелект також використовують для підвищення безпеки. Алгоритми можуть виявляти підозрілі реєстрації, аналізувати нетипову активність або допомагати знаходити домени, які потенційно використовуються для фішингу та інших зловживань.

Такі сценарії показують, наскільки тісно ШІ вже інтегрований у сучасну доменну індустрію.

Якщо такі сервіси доступні користувачам у Європейському Союзі, компаніям варто заздалегідь оцінити, чи поширюються певні вимоги EU AI Act на інструменти ШІ, які вони використовують.

Що компаніям варто зробити вже зараз

Компаніям варто ретельно оцінити, як вони використовують ШІ у своїй діяльності. Такий аналіз допоможе зрозуміти, які правові положення можуть бути актуальними для організації та які кроки можуть знадобитися надалі:

  1. Скласти перелік інструментів ШІ, які використовуються в компанії, включно з вбудованими функціями сторонніх сервісів, чатботами, інструментами автоматизації та рішеннями для аналізу даних.
  2. Визначити роль компанії щодо кожного рішення на основі ШІ, тобто чи розробляє вона власну систему ШІ, інтегрує наявний інструмент у свій продукт, чи використовує його лише для внутрішніх процесів.
  3. Оцінити призначення використовуваних систем ШІ та визначити, чи належать вони до категорій, для яких AI Act встановлює додаткові вимоги.
  4. Якщо компанія підпадає під дію AI Act, переглянути, які працівники працюють з інструментами ШІ, і забезпечити їм необхідний рівень грамотності у сфері ШІ, як того вимагає закон.
  5. Стежити за оновленнями регулювання, зокрема за можливими змінами строків і вимог у межах ініціативи Digital Omnibus. 

Така попередня оцінка допоможе компанії зрозуміти, які положення AI Act можуть бути для неї актуальними, і підготуватися до майбутнього застосування вимог закону.

Використання ШІ стає стандартною частиною цифрового бізнесу. Компанії впроваджують ШІ, щоб пришвидшити обслуговування клієнтів, автоматизувати рутинні завдання, підвищити безпеку та зробити свої сервіси зручнішими.

Водночас змінюються й вимоги до використання таких технологій.

Коли вимоги EU AI Act набувають чинності

Створено за допомогою ШІ

Хоча EU AI Act офіційно набув чинності у 2024 році, його положення впроваджуються поступово. Це потрібно для того, щоб компанії мали час адаптуватися до нових вимог. Наразі можна виокремити п'ять ключових етапів:

Лютий 2025 року: перші заборони та вимоги щодо грамотності у сфері ШІ

Перші положення закону набули чинності 2 лютого 2025 року.

По-перше, набула чинності заборона на використання систем ШІ, класифікованих як такі, що становлять неприйнятний ризик. До них належать системи соціального рейтингу, технології, засновані на маніпулюванні поведінкою людей, окремі види біометричної ідентифікації в громадських місцях і низка інших практик, які ЄС вважає несумісними із захистом основоположних прав людини.

По-друге, компанії, на які поширюється AI Act, мають забезпечити належний рівень грамотності у сфері ШІ серед працівників, які працюють зі штучним інтелектом. Це не означає обов'язкової сертифікації чи єдиного курсу для всіх. Проте організації мають подбати про те, щоб працівники розуміли можливості й обмеження систем ШІ, які вони використовують, усвідомлювали пов'язані з ними ризики та вміли відповідально користуватися такими інструментами. Під час оцінювання враховуються роль працівника, особливості використовуваних рішень на основі ШІ та контекст їх застосування. 

Серпень 2025 року: правила для моделей загального призначення

Наступний етап розпочався 2 серпня 2025 року, коли почали застосовуватися вимоги до постачальників моделей штучного інтелекту загального призначення (GPAI), наприклад великих мовних моделей (LLM), які можна використовувати для широкого кола завдань.

Для постачальників таких моделей закон встановлює обов'язки щодо підготовки технічної документації, дотримання вимог авторського права, забезпечення достатньої прозорості, а для найпотужніших моделей – також управління системними ризиками.

Для більшості компаній, які просто використовують готові сервіси ШІ, цей етап має радше опосередковане значення. Однак ці вимоги стосуються розробників і постачальників базових моделей ШІ, на яких побудовано багато сучасних сервісів.

Серпень 2026 року: ключові вимоги для бізнесу

Найважливішою віхою для більшості компаній стане 2 серпня 2026 року.

Саме з цієї дати застосовуватиметься значна частина положень AI Act, зокрема вимоги до систем ШІ високого ризику, обов'язки учасників ринку, правила прозорості та повноваження наглядових органів.

Зокрема, набудуть чинності вимоги до систем ШІ високого ризику, серед яких:

  • управління ризиками протягом усього життєвого циклу системи;
  • забезпечення якості даних, що використовуються для навчання та роботи ШІ;
  • ведення технічної документації;
  • реєстрація подій для забезпечення простежуваності роботи системи;
  • людський нагляд за роботою ШІ;
  • дотримання вимог щодо точності, надійності та кібербезпеки.

У цей період також почнуть застосовуватися багато вимог щодо прозорості. Наприклад, користувачів потрібно буде інформувати, коли вони взаємодіють із системою ШІ, зокрема з чатботом, а певний контент, створений ШІ, включно з дипфейками, має бути відповідно позначений.

Серпень 2027 року: ШІ в регульованих продуктах

Наступний етап впровадження AI Act розпочнеться 2 серпня 2027 року. Відтоді закон застосовуватиметься до систем ШІ, які є компонентами безпеки продуктів, уже врегульованих правом ЄС. Це стосується, наприклад, медичних виробів, машинного обладнання, транспортних засобів та інших продуктів, у яких штучний інтелект впливає на безпеку використання.

Кінець 2030 року: завершення перехідного періоду

Фінальний етап впровадження AI Act завершиться 31 грудня 2030 року. До цієї дати певні великі інформаційні системи Європейського Союзу, зазначені в Додатку X до AI Act (перелік окремих великих інформаційних систем ЄС, для яких закон передбачає довший перехідний період до повної відповідності Акту), мають відповідати вимогам закону.

Для більшості компаній ця дата не створить нових обов'язків, але вона завершує поетапне впровадження закону. Наразі Європейська комісія обговорює ініціативу Digital Omnibus (пакет законодавчих змін, спрямованих на спрощення та гармонізацію цифрового регулювання в ЄС і зменшення адміністративного навантаження на бізнес), яка пропонує відтермінувати набрання чинності окремими вимогами до систем ШІ високого ризику – попередньо до кінця 2027 року.

Втім, ці зміни ще не ухвалені. Тому компаніям рекомендується орієнтуватися на чинний графік впровадження AI Act і не відкладати підготовку в очікуванні можливих змін.

Підготовка до нових вимог не обов'язково означає масштабні зміни вже сьогодні. Однак розуміння того, де і як у компанії використовується ШІ, допоможе вчасно оцінити потенційні ризики, уникнути неочікуваних ускладнень у майбутньому та впевненіше адаптуватися до нового регулювання.

Поширені запитання

Чи поширюється EU AI Act на компанії за межами Європейського Союзу?

Так. Акт має екстериторіальну дію. У певних випадках його вимоги можуть поширюватися на компанії, зареєстровані за межами ЄС, якщо вони пропонують продукти чи послуги користувачам у ЄС або якщо результати роботи їхніх систем ШІ використовуються в межах ЄС.

Чи всі компанії зобов'язані дотримуватися EU AI Act?

Ні. Обов'язки залежать від ролі, яку компанія відіграє у використанні ШІ, задіяних систем ШІ та категорії ризику, до якої вони належать. Саме лише використання ШІ не означає автоматичного застосування всіх вимог закону.

Які системи ШІ регулюються найсуворіше?

Найсуворіші вимоги застосовуються до систем ШІ високого ризику. До них належать рішення, що використовуються в охороні здоров'я, освіті, працевлаштуванні, критичній інфраструктурі, правоохоронній діяльності та оцінюванні кредитоспроможності. Для таких систем AI Act встановлює вимоги щодо управління ризиками, якості даних, документації, людського нагляду та кібербезпеки.

Коли набуде чинності більшість вимог EU AI Act?

Хоча закон набув чинності у 2024 році, його положення впроваджуються поетапно. Одна з ключових дат – 2 серпня 2026 року, коли почне застосовуватися значна частина вимог для бізнесу, зокрема правила для систем ШІ високого ризику та вимоги щодо прозорості. Водночас окремі положення вже діють із лютого та серпня 2025 року.

Що компанії варто зробити зараз?

Почати з внутрішньої оцінки використання ШІ: визначити, які інструменти ШІ застосовуються в компанії, де саме вони використовуються, яку роль організація відіграє щодо цих систем і чи можуть вони підпадати під дію AI Act. Такий аналіз допоможе заздалегідь зрозуміти, які обов'язки можуть виникнути в міру набрання чинності положеннями закону.

Хочете бути в курсі трендів технологічної індустрії? Відвідайте блог it.com Domains і зв'яжіться з нами в соцмережах.

Цю статтю перекладено штучним інтелектом, тому вона може містити неточності. Перегляньте оригінал англійською мовою.

Ilona K.
Ilona K.
Поділіться цією публікацією!

Join Our Newsletter!

Insights on domains, behind-the-scenes company news, and what’s happening across the industry — delivered to your inbox.
You’re in!
We’ll be in touch with fresh updates and stories.