+8° Київ +19° Варшава +18° Вашингтон
$ 43.97 € 51.75 zł 12.19
$ 43.97 € 51.75 zł 12.19
+8° Київ +19° Варшава +18° Вашингтон
Перший у світі комплексний закон про ШІ: що він означає для України
Статті Технології

Перший у світі комплексний закон про ШІ: що він означає для України

01 Травня 2026 18:35

ШІ вже давно перестав бути лише темою наукової фантастики. Сьогодні він – частина нашої рутини: фільтрує пошту, рекомендує фільми до вечірнього перегляду, перекладає тексти та навіть допомагає лікарям ставити діагнози. За оцінками McKinsey, генеративний ШІ може щороку приносити світовій економіці до $4,4 трильйона. Це більше, ніж весь ВВП Великої Британії. І дійсно, ШІ зробив будь-які процеси суттєво швидшими.

Однак там де є безмежні можливості – є велика загроза щодо приватності, безпеки та навіть етики. Європейський Союз, усвідомлюючи це, розробив Закон про Штучний інтелект під назвою “AI Act”, щоб урегулювати використання цієї технології на території ЄС. Втім нові правила створюють й нові вимоги для IT компаній, серед яких є й український бізнес. 

Що змінить цей закон? Які основні вимоги AI Act до компаній, що працюють з ШІ в Європі? Та як AI Act вплине на український IT-сектор?
 

Що це за закон?
 

image


Перш ніж перейти до вимог та деталей, варто зрозуміти, що це за закон і коли його було ухвалено. AI Act – перший у світі закон, що системно регулює розробку та використання штучного інтелекту. Його ухвалив Європейський парламент у березні 2024 року, а в серпні того ж року він набрав чинності. 

Закон запроваджується поетапно: перші заборони почали діяти вже у лютому 2025-го, а весь список вимог для компаній набуде чинності у серпні 2026 року.

Логіка закону проста: чим більший потенційний вплив системи на людину, тим жорсткіші вимоги до неї.

Закон поділяє всі ШІ-системи на чотири категорії ризику:

мінімальний — більшість звичних інструментів, з якими ми взаємодіємо щодня: спам-фільтри, рекомендаційні алгоритми на Netflix чи YouTube, ігри та базові інструменти автоматизації. Вони не несуть суттєвої загрози для людини, тому жодних обов'язкових вимог до них немає.

обмежений – чат-боти, дипфейки, системи, що генерують текст, зображення чи відео. Ризик тут є, але керований. Головна вимога до них – одна. Користувач має завжди знати, що спілкується з машиною, а не людиною (або що контент створений штучно).

високий — найбільша та найважливіша категорія для бізнесу. До неї належать системи, що використовуються в медицині, освіті, підборі персоналу, кредитному скорингу, управлінні критичною інфраструктурою та правосудді. Для таких систем потрібно мати чіткі інструкції, контролювати можливі ризики. Працівники мають постійно перевіряти їх роботу, а також оцінювати, як це впливає на права людей. 

неприйнятний — це системи, що становлять загрозу правам людини. Сюди входять системи соціального скорингу, що оцінюють людей за їхньою поведінкою чи особистими рисами; маніпулятивні алгоритми, які можуть завдати психологічної шкоди; а також біометричні технології для ідентифікації людей за чутливими ознаками ( відбитки пальців чи обличчя). Також під заборону потрапляє розпізнавання облич у публічних місцях у реальному часі. Використання цих технологій є повністю забороненим. Винятків не передбачено.

На прикладах це виглядає так:

  • якщо ваш продукт – це рекомендаційний алгоритм або спам-фільтр, AI Act практично не стосується вашої компанії.
  • якщо ви розробляєте чат-бота – обов’язково повідомте користувачам, що вони спілкуються з машиною (тобто у чат-боті повинна бути зазначена інформація, що вони ведуть діалог з автоматизованою системою).
  • якщо ваша система впливає на рішення в медицині, фінансах чи підборі персоналу — будьте готові до серйозної документації, перевірок і юридичної відповідальності.
  • а якщо ваш продукт потрапляє до категорії неприйнятного ризику – його доведеться просто закрити.
     

Головне, що потрібно знати — закон стосується всіх, хто продає або надає ШІ-послуги на ринку Європи, незалежно від того, де знаходиться компанія (фактично, як і GDPR — Загальний регламент ЄС про захист персональних даних, який зобов'язує будь-яку компанію у світі дотримуватися європейських правил роботи з даними громадян ЄС. Штрафи за недотримання цього закону сягають до €20 млн або 4% глобального обороту компанії). 

Тому, як кажуть, працюєш з європейським клієнтом – виконуй європейські правила.
 

Які штрафи передбачені за порушення цього закону?
 

Штрафи, насправді, дуже великі. 

Якщо компанія порушить правила у категорії “неприйнятний ризик” – вона має сплатити штраф в сумі до €35 млн або 7% річного глобального обороту.

У випадку порушення категорії “високий ризик” штраф складе до €15 млн або 3% річного глобального обороту.

Якщо ж порушено правила для категорії “обмежений ризик”, штраф може досягати €7,5 млн або 1% від річного глобального обороту.

Крім того, у кожному випадку порушень братиметься та сума, яка є більшою. Тому для великих корпорацій – це мільярди. Для українського середнього бізнесу – цифри менші, але здатні знищити компанію. 
 

image


А ChatGPT, Claude, Google Gemini та інші моделі?
 

Для них теж є правила. Компанії мають пояснювати, на яких даних навчали свої системи, а також не порушувати авторські права. Найпотужніші моделі додатково перевірятимуть на безпеку. А весь контент, створений ШІ автоматично (дипфейки, чат-боти, згенеровані зображення та відео) має бути промаркованим. Користувач повинен знати, що це зробила машина.

Крім того, з лютого 2025 року компанії повинні навчати працівників, які працюють зі штучним інтелектом, розуміти цю технологію та її потенційні ризики. 
 

Як цей закон стосуватиметься України?
 

Говорити про те, що AI Act – це “проблема Брюсселя”, можна лише в тому разі, якщо не знати реальних масштабів залежності українського IT від європейського ринку.

Україна сьогодні є одним із найпотужніших технологічних хабів Центрально-Східної Європи. За підсумками 2024 року наш IT-сектор експортував послуг на $6,4 млрд, що складає близько 37% від усіх сервісних експортів країни. Ринок аутсорсингу оцінюється у $1,2 млрд у 2025 році і продовжує рости, незважаючи на війну. Серед клієнтів – компанії з Німеччини, Нідерландів, Великої Британії та Балтії. А це – пряме потрапляння під дію AI Act.

У сегменті ШІ Україна займає друге місце серед країн Центрально-Східної Європи за кількістю ШІ-компаній. Станом на 2025 рік їх налічувалось понад 240. Обсяг українського ринку штучного інтелекту досяг $419,4 млн, а кількість AI/ML-спеціалістів за останнє десятиліття зросла в п’ять разів і тепер становить 5 200 осіб.

Фактично, AI Act стосується України в кількох аспектах одночасно:

  • Аутсорсингові компанії, які розробляють ШІ для європейських клієнтів, повинні дотримуватись вимог цього закону. 
  • Стартапи, які хочуть вийти на ринок ЄС, повинні закладати ці вимоги у свої продукти з самого початку, щоб не платити набагато більше пізніше.
  • Компанії, які зареєстровані в ЄС через юридичні структури в Польщі, Естонії чи Литві (так звані “шелли”), також повинні відповідати вимогам AI Act. 
  • Фрилансери, які надають ШІ-послуги бізнесам у ЄС, мають розуміти, який ризик їхні рішення несуть.

     

Також варто враховувати, що Україна зараз рухається до євроінтеграції. Прийняття законів, які відповідатимуть вимогам AI Act, – лише питання часу. Мінцифри вже заявляє про намір зробити цифрові технології сумісними з ЄС, а деякі документи у сфері ШІ (та сама Концепція розвитку штучного інтелекту в Україні) вже розроблялись з урахуванням європейських стандартів.

 

image

 

Що медіаексперт Олександр Глущенко думає про AI Act
 

UA.NEWS поспілкувались з медіаекспертом Олександром Глущенком про цей закон та те, чи готовий до нього український IT-бізнес. Експерт каже, що українських підприємців найбільше шокують три речі: розмір штрафів, бюрократичне навантаження на етапі R&D та жорсткі вимоги до датасетів.

«Штрафи є драконівськими і перевищують штрафи за GDPR», – додає Глущенко.

Бюрократія, за його словами, починається ще до написання першого рядка коду:

«Для систем високого ризику потрібно створювати систему управління ризиками, вести автоматичне логування подій і писати товстелезну технічну документацію. І все це — до того, як ти взагалі почав розробку».

А окремим головним болем є вимоги до даних:

«Розробник повинен довести, що набори даних, на яких навчалася модель, є релевантними, не містять помилок і репрезентативні — тобто не мають упередженості».

На практиці, за словами експерта, це означає, що український стартап, який зібрав мільйони фото з інтернету для навчання своєї системи, повинен довести, що має право використовувати ці фото і що у вибірці немає расових упереджень. А софтверна компанія, яка хоче вийти на ринок ЄС, тепер має наймати окрему аудиторську організацію (так звану Notified Body) щоб та перевірила код та архітектуру і дозволила поставити позначку CE на програмному забезпеченні.

«Це процес, який раніше застосовувався переважно до фізичних товарів — іграшок, електроніки. Тепер він стосується програмного коду», – каже Глущенко.

Ринок в Україні, за словами Глущенка, розділився на дві категорії. Великі гравці, такі як Grammarly, MacPaw, SoftServe, Ciklum, GlobalLogic  вже активно готуються до впровадження в дію закону. Вони формують внутрішні комітети з етики ШІ, наймають AI Compliance Officers та проводять інвентаризацію всіх своїх ШІ-продуктів. Малий і середній бізнес – в зоні найбільшого ризику.

«Більшість або чули про закон краєм вуха, або вважають, що їх це не стосується — ми просто використовуємо API OpenAI».

Втім, у довгостроковій перспективі експерт бачить велику перевагу у законі:

«Замість того, щоб намагатися відповідати 27 різним законам у кожній країні ЄС, українська компанія адаптується до одного стандарту. Компанії, які зараз навчаться комплаєнсу (відповідності), отримають величезну конкурентну перевагу на ринку аутсорсингу. 

Крім того, Міністерство цифрової трансформації України у 2024 році презентувало «Білу книгу з регулювання ШІ в Україні», яка передбачає повну синхронізацію з AI Act». 

Він наводить й конкретний приклад: умовний німецький банк обирає між двома вендорами для розробки ШІ-системи скорингу кредитів. Індійська компанія пропонує нижчу ціну, але українська – архітектуру з вбудованим комплаєнсом та готовими шаблонами документації.

«Німецький банк гарантовано обере українців, щоб уникнути штрафів», – додає експерт.

Окрему можливість Глущенко бачить у новій ніші – AI Legal Tech.

«З'являється ціла нова індустрія. Українські юристи та інженери можуть створювати стартапи, які автоматизують перевірку інших ШІ-моделей на відповідність європейському законодавству».

Стратегічно він робить ставку на те, що Україна може стати тестовим середовищем для продуктів ШІ від європейських корпорацій:

«Оскільки в ЄС запуск систем високого ризику супроводжуватиметься тяжкою бюрократією, Україна (маючи спеціальні правові режими на кшталт "Дія.City" та плановані "регуляторні пісочниці") може запропонувати європейським компаніям ідеальний тестовий полігон. Розробляти і тестувати ШІ можна буде в Україні (за зрозумілими правилами, але без драконівських європейських штрафів на етапі тестування), а виводити на ринок – вже як готовий, відкалібрований продукт».

На запитання, чи будемо ми раді цьому закону через три роки, Глущенко дає позитивний вердикт:

«Спрацює так званий "Брюссельський ефект" (Brussels effect) – коли закони ЄС через розмір європейського ринку де-факто стають світовими стандартами. Ситуація буде абсолютно аналогічною до впровадження GDPR (Закону про захист персональних даних) у 2018 році.

В перші 1-2 роки після повноцінного запуску (2025-2026 рр.) було та є багато роздратувань. Компанії скаржаться на витрати, бюрократію, затримки релізів та "смерть інновацій". Деякі стартапи змушені закритися або змінити бізнес-модель. Але через 3 роки (ближче до 2027-2028 рр.) всі будуть раді цьому закону».
 

Чотири кроки, які радить Глущенко IT-сектору 
 

За словами експерта, стартапам варто інтегрувати принципи "Trustworthy AI" (Надійного ШІ) у свої процеси вже зараз. Глущенко виділяє 4 основні кроки:

  1. Провести аудит за класифікатором ризиків: Чесно оцінити свій продукт і визначити, до якої з чотирьох категорій за AI Act він належить.
  2. Впровадити стандарт ISO/IEC 42001 (Система управління ШІ): Хоча AI Act не вимагає саме цього стандарту прямо зараз, його дотримання де-факто закриває 80% вимог європейського регулятора щодо документування процесів.
  3. Навести лад у даних (Data mapping): Задокументувати, звідки беруться дані для навчання моделей, хто їхній власник і як вони обробляються.
  4. Забезпечити принцип "Human-in-the-loop" (Людина в контурі): Для критичних рішень завжди залишати можливість людині-оператору переглянути або скасувати рішення ШІ (Стаття 14).
     
image

 

Сіра зона закрита. Гонка почалася
 

Можна сказати, що AI Act стане початком нового порядку, де відповідальність за алгоритмічні рішення буде юридично зафіксованою та виміряною.

Для України з її потужним, але вразливим IT-сектором це одночасно як виклик, так  і шанс. Виклик – бо compliance коштує часу, грошей і кваліфікованих кадрів, яких бракує. Шанс – бо компанії, що раніше інших адаптуються, отримають конкурентну перевагу на ринку, де довіра до технологій стає стратегічним активом.

У Брюсселі стартапи вже змагаються за те, щоб першими отримати сертифікацію і зайняти місце на новому ринку. У Києві, Львові та Харкові ця гонка тільки починається.

Читай нас у Telegram та Sends

author

UA NEWS