Первый в мире комплексный закон об ИИ: что он означает для Украины

ИИ уже давно перестал быть лишь темой научной фантастики. Сегодня он — часть нашей повседневной жизни: фильтрует почту, рекомендует фильмы для вечернего просмотра, переводит тексты и даже помогает врачам ставить диагнозы. По оценкам McKinsey, генеративный ИИ может ежегодно приносить мировой экономике до 4,4 триллиона долларов. Это больше, чем весь ВВП Великобритании. И действительно, ИИ сделал любые процессы существенно быстрее.

Однако там, где есть безграничные возможности, существует большая угроза в отношении конфиденциальности, безопасности и даже этики. Европейский Союз, осознавая это, разработал Закон об искусственном интеллекте под названием «AI Act», чтобы урегулировать использование этой технологии на территории ЕС. Впрочем, новые правила создают и новые требования для IT-компаний, среди которых есть и украинский бизнес. 

Что изменит этот закон? Каковы основные требования AI Act к компаниям, работающим с ИИ в Европе? И как AI Act повлияет на украинский IT-сектор?
 

Что это за закон?
 

Прежде чем перейти к требованиям и деталям, стоит понять, что это за закон и когда он был принят. AI Act — первый в мире закон, системно регулирующий разработку и использование искусственного интеллекта. Его принял Европейский парламент в марте 2024 года, а в августе того же года он вступил в силу. 

Закон вводится поэтапно: первые запреты начали действовать уже в феврале 2025 года, а весь список требований для компаний вступит в силу в августе 2026 года.

Логика закона проста: чем больше потенциальное влияние системы на человека, тем жестче требования к ней.

Закон делит все ИИ-системы на четыре категории риска:

минимальный — большинство привычных инструментов, с которыми мы взаимодействуем ежедневно: спам-фильтры, рекомендательные алгоритмы на Netflix или YouTube, игры и базовые инструменты автоматизации. Они не несут существенной угрозы для человека, поэтому никаких обязательных требований к ним нет.

ограниченный — чат-боты, дипфейки, системы, генерирующие текст, изображения или видео. Риск здесь есть, но он управляемый. Главное требование к ним — одно. Пользователь должен всегда знать, что общается с машиной, а не с человеком (или что контент создан искусственно).

высокий — самая большая и важная категория для бизнеса. К ней относятся системы, используемые в медицине, образовании, подборе персонала, кредитном скоринге, управлении критической инфраструктурой и правосудии. Для таких систем необходимо иметь четкие инструкции, контролировать возможные риски. Сотрудники должны постоянно проверять их работу, а также оценивать, как это влияет на права людей. 

неприемлемый — это системы, представляющие угрозу правам человека. Сюда входят системы социального скоринга, оценивающие людей по их поведению или личным чертам; манипулятивные алгоритмы, которые могут нанести психологический вред; а также биометрические технологии для идентификации людей по чувствительным признакам (отпечатки пальцев или лица). Также под запрет попадает распознавание лиц в общественных местах в режиме реального времени. Использование этих технологий полностью запрещено. Исключений не предусмотрено.

На примерах это выглядит так:

• если ваш продукт — это рекомендательный алгоритм или спам-фильтр, AI Act практически не касается вашей компании.
• если вы разрабатываете чат-бота — обязательно сообщите пользователям, что они общаются с машиной (то есть в чат-боте должна быть указана информация, что они ведут диалог с автоматизированной системой).
• если ваша система влияет на решения в медицине, финансах или подборе персонала — будьте готовы к серьезной документации, проверкам и юридической ответственности.
• А если ваш продукт попадает в категорию неприемлемого риска — его придется просто закрыть.
   

Главное, что нужно знать — закон касается всех, кто продает или предоставляет ИИ-услуги на рынке Европы, независимо от того, где находится компания (фактически, как и GDPR — Общий регламент ЕС о защите персональных данных, который обязывает любую компанию в мире соблюдать европейские правила работы с данными граждан ЕС. Штрафы за несоблюдение этого закона достигают €20 млн или 4% глобального оборота компании). 

Поэтому, как говорится, работаешь с европейским клиентом — соблюдай европейские правила.
 

Какие штрафы предусмотрены за нарушение этого закона?
 

Штрафы, на самом деле, очень большие. 

Если компания нарушит правила в категории «неприемлемый риск» — она должна уплатить штраф в сумме до €35 млн или 7% годового глобального оборота.

В случае нарушения в категории «высокий риск» штраф составит до €15 млн или 3% годового глобального оборота.

Если же нарушены правила для категории «ограниченный риск», штраф может достигать €7,5 млн или 1% от годового глобального оборота.

Кроме того, в каждом случае нарушений будет браться та сумма, которая больше. Поэтому для крупных корпораций – это миллиарды. Для украинского среднего бизнеса – цифры меньше, но способны уничтожить компанию. 
 

А ChatGPT, Claude, Google Gemini и другие модели?
 

Для них тоже есть правила. Компании должны объяснять, на каких данных обучали свои системы, а также не нарушать авторские права. Самые мощные модели будут дополнительно проверяться на безопасность. А весь контент, созданный ИИ автоматически (дипфейки, чат-боты, сгенерированные изображения и видео), должен быть помечен. Пользователь должен знать, что это сделала машина.

Кроме того, с февраля 2025 года компании должны обучать сотрудников, работающих с искусственным интеллектом, понимать эту технологию и ее потенциальные риски. 
 

Как этот закон коснется Украины?
 

Говорить о том, что AI Act — это «проблема Брюсселя», можно только в том случае, если не знать реальных масштабов зависимости украинского IT от европейского рынка.

Украина сегодня является одним из самых мощных технологических хабов Центрально-Восточной Европы. По итогам 2024 года наш IT-сектор экспортировал услуг на $6,4 млрд, что составляет около 37% от всего сервисного экспорта страны. Рынок аутсорсинга оценивается в $1,2 млрд в 2025 году и продолжает расти, несмотря на войну. Среди клиентов — компании из Германии, Нидерландов, Великобритании и стран Балтии. А это — прямое попадание под действие AI Act.

В сегменте ИИ Украина занимает второе место среди стран Центрально-Восточной Европы по количеству ИИ-компаний. По состоянию на 2025 год их насчитывалось более 240. Объем украинского рынка искусственного интеллекта достиг $419,4 млн, а количество AI/ML-специалистов за последнее десятилетие выросло в пять раз и теперь составляет 5 200 человек.

Фактически, AI Act касается Украины сразу в нескольких аспектах:

• Аутсорсинговые компании, разрабатывающие ИИ для европейских клиентов, должны соблюдать требования этого закона. 
• Стартапы, которые хотят выйти на рынок ЕС, должны закладывать эти требования в свои продукты с самого начала, чтобы не платить гораздо больше позже.
• Компании, зарегистрированные в ЕС через юридические структуры в Польше, Эстонии или Литве (так называемые «шеллы»), также должны соответствовать требованиям AI Act. 
• Фрилансеры, предоставляющие ИИ-услуги компаниям в ЕС, должны понимать, какой риск несут их решения.
  
   

Также стоит учитывать, что Украина сейчас движется к евроинтеграции. Принятие законов, которые будут соответствовать требованиям AI Act, — лишь вопрос времени. Минцифры уже заявляет о намерении сделать цифровые технологии совместимыми с ЕС, а некоторые документы в сфере ИИ (та самая Концепция развития искусственного интеллекта в Украине) уже разрабатывались с учетом европейских стандартов.

Что медиаэксперт Александр Глущенко думает об AI Act
 

UA.NEWS пообщались с медиаэкспертом Александром Глущенко об этом законе и о том, готов ли к нему украинский IT-бизнес. Эксперт говорит, что украинских предпринимателей больше всего шокируют три вещи: размер штрафов, бюрократическая нагрузка на этапе R&D и жесткие требования к наборам данных.

«Штрафы являются драконовскими и превышают штрафы по GDPR», — добавляет Глущенко.

Бюрократия, по его словам, начинается еще до написания первой строки кода:

«Для систем высокого риска нужно создавать систему управления рисками, вести автоматическое логгирование событий и писать толстую техническую документацию. И все это — до того, как ты вообще начал разработку».

А отдельной головной болью являются требования к данным:

«Разработчик должен доказать, что наборы данных, на которых обучалась модель, являются релевантными, не содержат ошибок и репрезентативны — то есть не имеют предвзятости».

На практике, по словам эксперта, это означает, что украинский стартап, собравший миллионы фотографий из интернета для обучения своей системы, должен доказать, что имеет право использовать эти фотографии и что в выборке нет расовых предубеждений. А софтверная компания, которая хочет выйти на рынок ЕС, теперь должна нанимать отдельную аудиторскую организацию (так называемый Notified Body), чтобы та проверила код и архитектуру и разрешила поставить маркировку CE на программном обеспечении.

«Это процесс, который раньше применялся преимущественно к физическим товарам — игрушкам, электронике. Теперь он касается программного кода», — говорит Глущенко.

Рынок в Украине, по словам Глущенко, разделился на две категории. Крупные игроки, такие как Grammarly, MacPaw, SoftServe, Ciklum, GlobalLogic, уже активно готовятся к введению закона в действие. Они формируют внутренние комитеты по этике ИИ, нанимают AI Compliance Officers и проводят инвентаризацию всех своих ИИ-продуктов. Малый и средний бизнес — в зоне наибольшего риска.

«Большинство либо слышали о законе мимоходом, либо считают, что это их не касается — мы просто используем API OpenAI».

Впрочем, в долгосрочной перспективе эксперт видит большое преимущество в законе:

«Вместо того, чтобы пытаться соответствовать 27 разным законам в каждой стране ЕС, украинская компания адаптируется к одному стандарту. Компании, которые сейчас научатся комплаенсу (соответствию), получат огромное конкурентное преимущество на рынке аутсорсинга. 

Кроме того, Министерство цифровой трансформации Украины в 2024 году представило «Белую книгу по регулированию ИИ в Украине», которая предусматривает полную синхронизацию с AI Act». 

Он приводит и конкретный пример: условный немецкий банк выбирает между двумя вендорами для разработки ИИ-системы скоринга кредитов. Индийская компания предлагает более низкую цену, но украинская — архитектуру со встроенным комплаенсом и готовыми шаблонами документации.

«Немецкий банк гарантированно выберет украинцев, чтобы избежать штрафов», — добавляет эксперт.

Отдельную возможность Глущенко видит в новой нише — AI Legal Tech.

«Появляется целая новая индустрия. Украинские юристы и инженеры могут создавать стартапы, которые автоматизируют проверку других ИИ-моделей на соответствие европейскому законодательству».

Стратегически он делает ставку на то, что Украина может стать тестовой средой для продуктов ИИ от европейских корпораций:

«Поскольку в ЕС запуск систем высокого риска будет сопровождаться тяжелой бюрократией, Украина (имея специальные правовые режимы вроде «Дія.City» и планируемые «регуляторные песочницы») может предложить европейским компаниям идеальный тестовый полигон. Разрабатывать и тестировать ИИ можно будет в Украине (по понятным правилам, но без драконовских европейских штрафов на этапе тестирования), а выводить на рынок — уже как готовый, откалиброванный продукт».

На вопрос, будем ли мы рады этому закону через три года, Глущенко дает положительный вердикт:

«Сработает так называемый «брюссельский эффект» (Brussels effect) — когда законы ЕС из-за размера европейского рынка де-факто становятся мировыми стандартами. Ситуация будет абсолютно аналогична внедрению GDPR (Закона о защите персональных данных) в 2018 году.

В первые 1–2 года после полноценного запуска (2025–2026 гг.) было и есть много раздражений. Компании жалуются на расходы, бюрократию, задержки релизов и «смерть инноваций». Некоторые стартапы вынуждены закрыться или изменить бизнес-модель. Но через 3 года (ближе к 2027–2028 гг.) все будут рады этому закону».
 

Четыре шага, которые советует Глущенко IT-сектору 
 

По словам эксперта, стартапам стоит интегрировать принципы «Trustworthy AI» (Надежного ИИ) в свои процессы уже сейчас. Глущенко выделяет 4 основных шага:

1. Провести аудит по классификатору рисков: честно оценить свой продукт и определить, к какой из четырех категорий по AI Act он относится.
2. Внедрить стандарт ISO/IEC 42001 (Система управления ИИ): Хотя AI Act не требует именно этого стандарта прямо сейчас, его соблюдение де-факто закрывает 80% требований европейского регулятора по документированию процессов.
3. Навести порядок в данных (Data mapping): Задокументировать, откуда берутся данные для обучения моделей, кто их владелец и как они обрабатываются.
4. Обеспечить принцип «Human-in-the-loop» (Человек в контуре): для критических решений всегда оставлять возможность человеку-оператору пересмотреть или отменить решение ИИ (статья 14).
    

Серая зона закрыта. Гонка началась
 

Можно сказать, что AI Act станет началом нового порядка, где ответственность за алгоритмические решения будет юридически зафиксирована и измерима.

Для Украины с ее мощным, но уязвимым IT-сектором это одновременно и вызов, и шанс. Вызов — потому что compliance требует времени, денег и квалифицированных кадров, которых не хватает. Шанс — потому что компании, которые раньше других адаптируются, получат конкурентное преимущество на рынке, где доверие к технологиям становится стратегическим активом.

В Брюсселе стартапы уже соревнуются за то, чтобы первыми получить сертификацию и занять место на новом рынке. В Киеве, Львове и Харькове эта гонка только начинается.

Читай нас в Telegram и Sends