Вступ
Коли штучний інтелект (ШІ) почав допомагати лікарям у діагностиці, банкам у кредитному скорингу, рекрутерам у відборі кандидатів і навіть поліції в прогнозуванні злочинів — стало очевидно: ця технологія має величезний потенціал. Але водночас виникли ризики — упередженість, маніпуляції, порушення приватності, масове стеження.
Щоб уникнути шкоди, Європейський Союз ухвалив Artificial Intelligence Act (AI Act) — перший у світі комплексний закон про регулювання ШІ. Він набув чинності 1 серпня 2024 року й поширюється не лише на компанії в межах ЄС, а й на будь-які системи, що використовуються на європейському ринку.
Цей матеріал допоможе компаніям:
- зрозуміти мету та завдання регламенту,
- розібратися з ризик-категоріями,
- дізнатися, які обов’язки стосуються високоризикових систем і моделей загального призначення (GPAI),
- підготуватися до строків упровадження,
- оцінити санкції за порушення,
- і спланувати перші кроки.
1. Які цілі переслідує AI Act?
Документ ґрунтується на трьох ключових пріоритетах:
- Захист прав людини від небезпечного чи дискримінаційного використання ШІ.
- Зміцнення довіри до технологій шляхом прозорості та підзвітності.
- Створення єдиного ринку та конкурентного середовища для інновацій у Європі.
Іншими словами, AI Act — це водночас і захисний бар’єр, і поштовх для розвитку галузі.
2. Хто підпадає під регулювання?
Перелік доволі широкий:
- Розробники (постачальники) — ті, хто створює й продає ШІ-рішення.
- Користувачі (деплойєри) — компанії, які впроваджують системи у своїй роботі (банки, лікарні, університети тощо).
- Імпортери й дистриб’ютори — фірми, що постачають технології до ЄС.
- Розробники GPAI — компанії, які створюють великі багатофункціональні моделі.
⚠️ Важливо: навіть якщо компанія розташована за межами Європи, але її ШІ використовується на європейському ринку — вона має відповідати вимогам.
Система ризиків
AI Act класифікує всі системи за рівнями ризику:
| Рівень ризику | Приклади | Вимоги |
| Мінімальний | антиспам, ігри з ШІ | Жодних додаткових вимог |
| Обмежений | чат-боти, рекомендаційні сервіси | Обов’язок інформувати, що це ШІ |
| Високий | кредитний скоринг, рекрутинг, медичні системи | Жорсткі перевірки: документація, моніторинг, людський контроль |
| Заборонений | соціальний скоринг, маніпулятивний ШІ, масове біометричне стеження | Повна заборона |
Додатково: GPAI-моделі мають окремі вимоги до прозорості та безпеки.
Вимоги до високоризикового ШІ
Компанії, що працюють із високим ризиком, повинні забезпечити:
- системи управління ризиками,
- якісні дані для зниження упередженості,
- докладну технічну документацію,
- прозорість і можливість відстеження результатів,
- людський нагляд,
- аудит і сертифікацію перед запуском.
Сюди належать:
- медичні системи,
- автоматизований рекрутинг,
- кредитні перевірки,
- прогнозна аналітика для поліції чи прикордонних служб.
Заборонені практики
AI Act накладає абсолютну заборону на:
- маніпулятивний ШІ, який експлуатує дітей або вразливі групи,
- соціальний скоринг державними чи приватними структурами,
- використання залежностей чи слабкостей користувачів,
- масове біометричне спостереження у публічних місцях (крім вузьких винятків для безпеки).
👉 Такі системи мають зникнути з ринку ЄС до лютого 2025 року.
Ролі та обов’язки
Обов’язки розподіляються між усіма учасниками ринку:
- Розробники — гарантують відповідність і готують документацію.
- Імпортери — не допускають у ЄС неконформних систем.
- Дистриб’ютори — перевіряють наявність усіх сертифікатів.
- Користувачі — зобов’язані коректно застосовувати ШІ й повідомляти про інциденти.
Ніхто не залишається поза зоною відповідальності.
Графік упровадження
AI Act реалізується поетапно:
| Термін | Що відбувається |
| Серпень 2024 | Закон набирає чинності |
| Лютий 2025 | Заборонені системи мають бути вилучені |
| Серпень 2025 | Набувають чинності вимоги до GPAI |
| Серпень 2026 | Повна імплементація для високоризикового ШІ |
| Серпень 2027 | Деякі подовжені строки (наприклад, у медсекторі) |
Перехідні періоди: від 6 до 36 місяців залежно від категорії.
Санкції
Порушення коштуватиме бізнесу дорого:
- до 35 млн євро або 7 % глобального обороту — за використання забороненого ШІ,
- до 15 млн євро або 3 % — за порушення щодо високоризикових систем,
- до 7,5 млн євро або 1 % — за хибні дані для регуляторів.
Мета проста: створити ефект стримування.
Що робити компаніям?
Перші кроки:
- Провести аудит усіх ШІ-рішень.
- Визначити ризик-категорію кожного.
- Налагодити документацію й процеси відстеження.
- Запровадити контроль і систему повідомлень про інциденти.
- Навчити персонал — юридичний відділ, ІТ і бізнес-команди.
- Закріпити відповідальних за дотримання AI Act.
👉 Чим раніше компанія почне підготовку, тим більше отримає конкурентних переваг.
Стратегічні вигоди
Регулювання не тільки обмежує, а й відкриває нові можливості:
- довіра споживачів,
- краща позиція на ринку,
- зниження юридичних ризиків,
- привабливість для інвесторів.
FAQ
Чи поширюється закон на компанії поза ЄС?
Так, якщо їхні системи використовуються в Європі.
Чи стосується це всіх систем?
Ні, лише високоризикових і GPAI.
Чи заборонено біометричне стеження повністю?
Так, за винятком вузьких випадків для правоохоронців.
Які наслідки за невиконання?
Мільйонні штрафи й суттєві репутаційні ризики.
Коли починати підготовку?
Негайно. Перший дедлайн — лютий 2025 року.
Висновок
AI Act — це кінець епохи «дикого заходу» для ШІ в Європі. Попереду час прозорості, безпеки та довіри.
Для бізнесу це означає: відповідність закону — обов’язкова, але водночас вона може стати стратегічною перевагою. Хто підготується вчасно, отримає роль лідера у впровадженні відповідального та етичного ШІ
