27 May 2025

EU AI Act: що потрібно знати бізнесу

Оксана Попович

🧠 EU AI Act

Штучний інтелект (AI) стрімко трансформує світ — від медицини до банкінгу, від рекрутингу до клієнтських сервісів. Та водночас виникають серйозні виклики щодо етики, безпеки та захисту прав людини. У відповідь на це Європейський Союз ухвалив перший у світі повноцінний нормативний акт, який регулює використання ШІ — EU AI Act.

🔎 На кого поширюється EU AI Act?

Закон застосовується не лише до компаній в ЄС. Якщо ваша організація надає, розробляє, розповсюджує або використовує ШІ-системи, що мають вплив на ринок або користувачів в ЄС — ви підпадаєте під його дію, навіть якщо перебуваєте, скажімо, у Швейцарії, Великій Британії чи США.

Суб’єкти, на яких поширюється дія:

1. Постачальники (розробники/власники ШІ)
2. Деплойери (ті, хто впроваджує/використовує ШІ у своїх продуктах чи процесах)
3. Імпортери та дистриб’ютори
4. Виробники продуктів, що інтегрують ШІ

🧩 Як підготуватись до комплаєнсу?

Закон розділяє всі ШІ-системи на 4 категорії ризику:

1️⃣ Заборонені (unacceptable risk)

2️⃣ Високий ризик (high-risk)

3️⃣ Обмежений ризик (limited risk)

4️⃣ Мінімальний ризик (minimal risk)

Крок 1: Інвентаризація моделей

Перш за все, компаніям потрібно зрозуміти, які ШІ-системи вони використовують або планують використовувати. Це включає внутрішню розробку, сторонні інструменти, open-source рішення та навіть системи, що ще тестуються.

👉 Варто створити реєстр моделей — перелік усіх ШІ, що використовуються в компанії.

Крок 2: Класифікація за рівнем ризику

EU AI Act визначає високий ризик для систем, що використовуються:

1. у фінансовому секторі (кредитний скоринг, страхування),
2. у рекрутингу та HR-процесах (відбір кандидатів, оцінка продуктивності),
3. для управління критичною інфраструктурою,
4. для біометричної ідентифікації або категоризації людей.

Ці системи повинні:

1. проходити обов’язкову оцінку відповідності,
2. бути зареєстрованими в єдиній базі ЄС,
3. мати систему управління ризиками, логування, контроль за якістю даних,
4. мати людський контроль і прозорість.

Крок 3: Впровадження етичного та технічного комплаєнсу

Необхідно:

1. Визначити відповідальних осіб за відповідність.
2. Розробити кодекс етики ШІ.
3. Вбудовувати принципи «етики за замовчуванням» у ШІ-проєкти.
4. Стежити за оновленнями в регулюванні.
5. Побудувати систему AI governance — з процесами управління, аудиту та моніторингу.

🕒 Коли набирає чинності?

Закон очікується в 2–3 кварталі 2024 року. Передбачені перехідні періоди:

1. 6 місяців — для припинення використання заборонених систем
2. 12 місяців — для дотримання вимог до General Purpose AI (GPT, LLM)
3. 24 місяці — повна відповідність іншим вимогам

💥 Що, якщо не дотримуватись?

Порушення вимог AI Act можуть коштувати бізнесу дорого: до €35 млн або 7% глобального обороту, залежно від ступеня порушення.

🧾 Як діяти вже зараз?

1. Проведіть аудит ШІ-систем у компанії.
2. Оцініть рівень ризику кожної системи.
3. Призначте відповідальних осіб.
4. Впровадьте етичний кодекс ШІ.
5. Побудуйте AI governance framework.
6. Готуйтеся до реєстрації високоризикових систем у реєстрі ЄС.
7. Якщо ви постачальник — підготуйте документацію та оцінку відповідності.

👀 Для кого це особливо критично?

1. Фінансові установи, страхові компанії
2. ІТ-компанії, які розробляють або використовують ШІ
3. HR-сервіси та рекрутингові агенції
4. Виробники апаратного або програмного забезпечення
5. SaaS-платформи з елементами ШІ

📌 Якщо ваша компанія хоче залишатись конкурентною на європейському ринку — варто готуватись до EU AI Act вже сьогодні.