ET RU
Broneeri konsultatsioon
Avaleht / Blogi

AI Act для бизнеса: почему не стоит откладывать готовность к регулированию ИИ

16/06/2026

«У нас ещё есть время с AI Act».

Именно так часто рассуждают компании, которые уже используют инструменты ИИ, внедряют AI-функции в продукт или планируют выходить на рынок Европейского союза.

На первый взгляд ожидание кажется логичным. EU AI Act — новый регламент, рекомендации появляются постепенно, а AI Omnibus внёс изменения в сроки применения части правил по высокорисковым AI-системам. Но проблема в том, что полной “ясности” может не наступить до того момента, когда конкретные вопросы уже начнут задавать клиенты, инвесторы, банки или регуляторы.

ИИ больше не является игрушкой или экспериментом IT-отдела. Во многих компаниях он уже стал рабочим инструментом: для подготовки текстов, анализа данных, клиентской поддержки, разработки кода, обработки документов, скоринга клиентов или автоматизации внутренних процессов.

Безопасное использование ИИ начинается не с программного кода, а с управленческих решений. Контроль над ИИ позволяет компании использовать его возможности, а не заниматься кризисным управлением после утечки данных, ошибки в решении или претензии клиента.

AI Act касается не только AI-компаний

Одна из главных ошибок – думать, что EU AI Act compliance касается только компаний, которые сами разрабатывают искусственный интеллект.

На самом деле AI Act построен на риск-ориентированном подходе. Он применяется к разным участникам AI-цепочки в зависимости от их роли, конкретной AI-системы и способа её использования. Европейская комиссия описывает AI Act как риск-ориентированные правила для разработчиков и пользователей AI в отношении конкретных способов применения ИИ.

Это значит, что компания может попасть под требования AI Act даже тогда, когда она просто использует сторонний AI-инструмент в своих рабочих процессах.

Например:

  • HR-отдел использует AI-инструмент для предварительного отбора кандидатов;
  • отдел продаж использует AI-скоринг клиентов;
  • клиентская поддержка использует AI-chatbot;
  • fintech-компания использует AI для оценки клиентского риска;
  • SaaS-платформа содержит AI-функцию, влияющую на решения пользователей;
  • сотрудники загружают клиентские данные, договоры или внутреннюю информацию в публичные AI-сервисы.

В таких ситуациях ответ “мы не разрабатываем ИИ, мы только используем чужой сервис” не всегда снимает риски.

ИИ уже в вашем офисе – и он не спрашивает разрешения у IT-директора

Во многих организациях до сих пор есть опасное заблуждение: всё, что связано с ИИ, — это тема IT-отдела или вопрос далёкого будущего.

Реальность другая. AI уже используется даже там, где у компании нет официальной AI-стратегии.

Маркетинг использует ChatGPT. Разработчики используют Copilot. Отдел продаж работает с AI-функциями внутри CRM. HR пробует инструмент для сравнения кандидатов. Кто-то загружает договор, клиентские данные или коммерческую информацию в публичный AI-сервис, не задумываясь о конфиденциальности, коммерческой тайне, GDPR или условиях договора с клиентом.

Если сотрудник использует ИИ для анализа клиентских данных или подготовки тендерного документа, это уже не “технологический эксперимент”. Это может быть юридический, информационный, договорный и репутационный риск.

Технология не отвечает за утечку данных, дискриминационный результат или ошибочное решение. Отвечает организация и её система управления.

Начните с короткой проверки AI-готовности

Если вы не уверены, какие AI-инструменты уже используются в вашей компании и может ли AI Act затрагивать вашу деятельность, разумный первый шаг — провести короткую проверку AI-готовности.

Юрист Георгий Джаниашвили поможет вам составить карту вариантов использования ИИ, оценить роль вашей компании в соответствии с Законом об ИИ и определить, какие риски, документы и внутренние правила требуют внимания. Запишитесь на консультацию по готовности к внедрению ИИ уже сегодня – здесь.

Важные даты AI Act

AI Act вступил в силу 1 августа 2024 года. Запреты на prohibited AI practices и обязанность по AI literacy начали применяться 2 февраля 2025 года. Правила для general-purpose AI models, включая GPAI-модели, начали применяться 2 августа 2025 года. Большая часть AI Act по общему правилу применяется с 2 августа 2026 года.

AI Omnibus изменил график применения части требований для high-risk AI systems. Согласно политическому соглашению Совета ЕС и Европейского парламента, новые даты применения правил для stand-alone high-risk AI systems — 2 декабря 2027 года, а для high-risk AI systems, встроенных в продукты, — 2 августа 2028 года.

Но это не означает, что бизнес может спокойно ждать 2027 или 2028 года. Запрещённые AI-практики и AI literacy уже применяются. Кроме того, уже сейчас продолжают действовать GDPR, правила защиты коммерческой тайны, интеллектуальной собственности, трудовое право, договорные обязательства и требования к информационной безопасности.

Использование ИИ должно соответствовать этим правилам уже сегодня, а не после появления всех дополнительных разъяснений.

Компании часто начинают не с того

Самая распространённая ошибка — начать сразу с документа.

Компания скачивает шаблон AI policy, добавляет пару общих правил про ChatGPT и считает, что AI Act readiness (готовность) закрыт.

Это слабый подход.

AI-готовность начинается не с документа. Она начинается с карты реального использования ИИ.

Первый вопрос должен быть таким:

Какие AI-инструменты и AI-функции фактически используются в компании?

Без ответа на этот вопрос любая AI-политика будет больше похожа на декларацию, чем на рабочий инструмент управления рисками.

Что нужно реально проверить

Компания должна понять как минимум:

  • какие AI-инструменты используют сотрудники;
  • используются ли публичные бесплатные AI-сервисы или корпоративно контролируемые решения;
  • загружаются ли в AI-сервисы персональные данные, клиентские данные, договоры, исходный код или коммерческая тайна;
  • влияет ли AI на клиентов, работников или решения в отношении людей;
  • используется ли AI в HR, fintech, образовании, клиентском скоринге, кредитной оценке или других чувствительных процессах;
  • кто отвечает за внедрение новых AI-инструментов;
  • есть ли договорные, GDPR и security-гарантии у поставщиков AI-сервисов.

Особенно важно выявить shadow AI – ситуации, когда сотрудники используют личные аккаунты, бесплатные AI-сервисы или инструменты, которые компания официально не проверяла и не контролирует.

Два вопроса, которые делают AI-готовность практичной

После первичного картирования нужно задать два вопроса.

Первый: влияет ли AI на людей, клиентов, сотрудников или решения в отношении них?

Это важно, потому что AI Act различает запрещённые AI-практики, high-risk AI systems, системы с обязанностями прозрачности и низкорисковые AI-системы. Высокорисковые системы могут включать, например, AI в трудоустройстве, образовании, критической инфраструктуре, доступе к важным услугам и других сферах, где AI может влиять на права или возможности человека.

Второй: кто отвечает за то, чтобы новые AI-инструменты не внедрялись без проверки?

Если в компании нет ответственного, появляется неконтролируемое использование AI. На практике это часто опаснее, чем отсутствие красивого документа.

Роли по AI Act: почему они важны

AI Act спрашивает не только “использует ли компания ИИ”. Он также смотрит на роль компании.

Компания может быть:

  • provider — поставщик AI-системы, если она разрабатывает или предлагает AI-систему на рынке под своим именем;
  • deployer — пользователь AI-системы, если она применяет AI в своих рабочих процессах;
  • importer — импортёр, если она вводит AI-систему из третьей страны на рынок ЕС;
  • distributor — дистрибьютор, если она делает AI-систему доступной на рынке ЕС;
  • GPAI provider — поставщик универсальной AI-модели, если она разрабатывает general-purpose AI model, например большую языковую модель.

Роль определяет обязанности. У provider могут быть обязанности по документации, risk management, conformity assessment, инструкциям и мониторингу. У deployer могут быть обязанности по правильному использованию системы, человеческому контролю, качеству входных данных, логам, информированию пользователей и AI literacy.

Одна и та же компания может иметь несколько ролей одновременно. Например, SaaS-компания может использовать стороннюю GPAI-модель, но при этом быть provider конкретной AI-системы, которую продаёт клиентам.

Практические шаги для снижения AI-рисков

AI governance – это не одноразовый проект. Это изменение управленческого подхода к технологиям, данным и ответственности.

1. Картирование и классификация

Нужно определить все места, где используется AI: официальные инструменты, встроенные AI-функции, AI в CRM, AI в продуктах, AI у подрядчиков и shadow AI.

Затем нужно оценить, может ли какой-то use case относиться к prohibited AI practices, high-risk AI, transparency obligations или low-risk AI.

2. Категории использования AI

Все способы использования ИИ не одинаковы. Внутри компании можно разделить их на три категории.

Разрешено: низкорисковые действия, например редактирование обезличенных заметок встречи без персональных данных, имён и конфиденциальной информации.

Ограничено: действия, требующие разрешения и контроля, например анализ клиентских данных, обработка финансовой информации, помощь в HR-процессах, анализ договоров или подготовка юридически значимых документов.

Запрещено: действия, которые могут нарушить GDPR, коммерческую тайну или договорные обязательства, например загрузка конфиденциальных договоров, исходного кода или клиентских данных в публичный бесплатный AI-сервис без проверки.

3. Внутренняя AI policy

Компании нужна практичная политика использования AI, а не формальный документ “для папки”.

Она должна отвечать на вопросы:

  • какие AI-инструменты разрешены;
  • какие данные можно вводить в AI;
  • какие данные запрещено вводить;
  • кто проверяет AI-output;
  • когда нужен human review;
  • когда нужно маркировать AI-generated content;
  • как информировать пользователей, если они взаимодействуют с AI-системой;
  • как проверять новые AI-инструменты до их внедрения.

4. Ответственность и контроль

AI не должен быть только проблемой IT-отдела.

Ответственность должна быть разделена между руководством, юридической функцией, compliance, IT/security и бизнесом. Нужно определить, кто отвечает за AI risk assessment, GDPR, информационную безопасность, договорные риски, vendor review и внутренние правила.

Также нельзя забывать о подрядчиках и партнёрах. Если они имеют доступ к вашим данным, клиентам или продуктам, в договорах должны быть правила о конфиденциальности, обработке данных, использовании AI, security measures, уведомлениях об инцидентах и ответственности.

Почему загрузка конфиденциальной информации в публичный AI-сервис опасна

Один из самых практических рисков – когда сотрудник загружает в публичный AI-сервис договор, клиентские данные, исходный код, финансовую информацию, бизнес-план или коммерческую тайну.

Юридически неверно утверждать, что такая информация всегда и автоматически становится частью training data навсегда. Это зависит от условий конкретного сервиса, настроек аккаунта, типа плана, privacy settings, retention policy и opt-out возможностей.

Но риск всё равно реальный. Если у компании нет контроля, она может не знать:

  • куда попали данные;
  • кто получил к ним доступ;
  • сколько они будут храниться;
  • используются ли они для улучшения сервиса;
  • нарушены ли GDPR, договор с клиентом или правила о коммерческой тайне.

Поэтому AI-политика не должна быть только списком разрешённых инструментов. Главное – данные, use cases, ответственность и контроль.

AI-готовность – это не только риск штрафов

Для многих компаний первый серьёзный вопрос придёт не от регулятора, а от рынка.

Инвестор спросит на due diligence, как компания управляет AI-рисками.
Крупный клиент включит AI governance в procurement questionnaire.
Банк спросит, обрабатываются ли клиентские данные в AI-инструментах.
Партнёр запросит GDPR и AI compliance documentation.
Клиент предъявит претензию, потому что AI-output оказался ошибочным или вводящим в заблуждение.

В этот момент общий ответ “мы используем только надёжные инструменты” не поможет. Нужно показать, какие AI-системы используются, для чего, какие риски оценены, какие меры контроля внедрены и кто за это отвечает.

Что сделать до того, как возникнет срочная проблема

Практическая AI Act readiness не обязательно должна начинаться с большого и дорогого проекта. Первый шаг должен быть понятным и проверяемым.

Минимально компания должна:

  1. составить список AI-инструментов и AI-функций;
  2. определить свою роль по каждой AI-системе;
  3. оценить категорию риска;
  4. проверить обработку персональных данных и GDPR-требования;
  5. создать процесс проверки новых AI-инструментов;
  6. назначить ответственных;
  7. подготовить практическую AI policy;
  8. обучить сотрудников AI literacy;
  9. добавить AI clauses в договоры с клиентами, поставщиками и разработчиками;
  10. подготовить базовую документацию для клиентов, инвесторов, банков и партнёров.

Почему откладывать до осени – плохая идея

Лето часто создаёт иллюзию паузы. Кажется логичным: “Вернёмся к этому после отпусков”.

Но AI не уходит в отпуск. Сотрудники продолжают использовать инструменты. Данные продолжают попадать во внешние сервисы. AI-функции появляются в продуктах. Клиенты и инвесторы продолжают задавать вопросы. Сроки AI Act постепенно приближаются.

Если AI-готовность откладывается на осень, компания может обнаружить, что работу, которую можно было спокойно сделать за несколько месяцев, теперь нужно делать за пару недель перед аудитом клиента, due diligence инвестора, банковской проверкой или регуляторным дедлайном.

Итог

AI Act не означает, что каждой компании нужна “лицензия на ИИ”. Но он означает, что компания должна понимать:

  • какие AI-системы она использует или предлагает;
  • какую роль она играет;
  • какая категория риска может применяться;
  • какие документы, процессы и меры контроля нужны;
  • как AI связан с GDPR, договорами, информационной безопасностью и ответственностью перед клиентами.

Худший момент для начала AI-готовности – когда вопросы уже заданы.

Гораздо разумнее провести первичный AI Act readiness review заранее, до того как регуляторная неопределённость начнёт мешать продажам, финансированию, банковскому onboarding, лицензированию или работе с крупными клиентами.

Если ваша компания использует AI-инструменты, разрабатывает AI-продукт или продаёт цифровой сервис на рынке ЕС, не ждите первого сложного вопроса от клиента, инвестора, банка или регулятора.

Юрист Георгий Джаниашвили помогает провести первичный AI Act readiness review: определить AI use cases, роли, категории риска, недостающие документы и практический план действий.

Выявите регуляторные пробелы до того, как они начнут блокировать продажи, инвестиции или выход на рынок.

Выявить AI-регуляторные пробелы записавшись на консультацию.