аналитика

AI Act в ЕС: что означает для разработчиков

AI Act вступает в силу — разбираем, что закон ЕС об ИИ означает для разработчиков, стартапов и open-source проектов.

Европейский союз принял AI Act — первый в мире комплексный закон о регулировании искусственного интеллекта. Документ вступает в силу поэтапно с 2024 по 2027 год. Для разработчиков и компаний, работающих с ИИ, закон создаёт конкретные обязательства — от маркировки сгенерированного контента до аудита высокорисковых систем. Разберём, что нужно знать.

Четыре уровня риска

AI Act классифицирует ИИ-системы по уровню риска. От категории зависят требования.

Недопустимый риск (запрещено): социальный скоринг государствами, массовая биометрическая слежка в реальном времени, манипуляция поведением уязвимых групп. Эти системы запрещены на территории ЕС с февраля 2025 года.

Высокий риск: ИИ в здравоохранении, образовании, трудоустройстве, кредитном скоринге, правоохранении, критической инфраструктуре. Обязательны: техническая документация, оценка рисков, человеческий контроль, логирование, регулярный аудит.

Ограниченный риск: чат-боты, генерация контента, системы рекомендаций. Обязательство — прозрачность: пользователь должен знать, что общается с ИИ или что контент сгенерирован.

Минимальный риск: спам-фильтры, ИИ в играх, большинство бизнес-приложений. Без специальных требований.

Что должны делать разработчики

Маркировка контента. Любой контент, сгенерированный ИИ (текст, изображения, аудио, видео), должен содержать машиночитаемую метку. Для deepfake — обязательная видимая маркировка. Это касается всех генеративных моделей: LLM, генераторов изображений, видеогенераторов.

Техническая документация для моделей общего назначения (GPAI). Разработчики базовых моделей (OpenAI, Anthropic, Meta, Mistral) обязаны публиковать описание обучающих данных, методологию оценки, известные ограничения. Это не касается пользователей API — обязательство лежит на провайдере модели.

Оценка рисков для высокорисковых систем. Если вы встраиваете LLM в медицинское приложение или HR-систему — нужна формальная оценка рисков, документирование, человеческий контроль (human-in-the-loop).

Open-source и AI Act

Open-source модели (Llama, Mistral, Qwen) получили частичное освобождение от требований к GPAI, но не полное. Исключение: если модель классифицирована как «системный риск» (обучена с вычислительной мощностью более 10²⁵ FLOP), требования применяются полностью — вне зависимости от лицензии.

Для разработчиков, использующих open-source модели в своих продуктах: обязательства по маркировке и оценке рисков лежат на вас, а не на авторах модели.

Штрафы

Нарушение запрета на недопустимый риск — до 35 миллионов евро или 7% мирового оборота. Несоблюдение требований для высокорисковых систем — до 15 миллионов евро или 3% оборота. Предоставление ложной информации регулятору — до 7.5 миллионов евро.

Для стартапов и малого бизнеса предусмотрены смягчённые штрафы и регуляторные «песочницы» — тестовые среды, где можно экспериментировать с ИИ без риска санкций.

Влияние за пределами ЕС

AI Act действует экстерриториально: если ваш ИИ-продукт доступен пользователям в ЕС — закон применяется, вне зависимости от расположения компании. Как GDPR стал де-факто стандартом для защиты данных, AI Act может стать стандартом для регулирования ИИ.

Для российских разработчиков, чьи продукты не ориентированы на рынок ЕС, закон не создаёт прямых обязательств. Но тренд на регулирование глобален — аналогичные инициативы обсуждаются в США, Китае и России.

Практические шаги

Определите категорию риска вашей ИИ-системы. Добавьте маркировку сгенерированного контента — это самое простое и универсальное требование. Для высокорисковых систем — начните документирование и оценку рисков заранее, не дожидаясь проверки. Следите за руководствами AI Office ЕС — они уточняют требования закона для конкретных случаев.

Что такое AI Act ЕС

AI Act (Закон об ИИ) — первый в мире всеобъемлющий нормативный акт, регулирующий применение искусственного интеллекта. Принят Европейским парламентом в марте 2024 года, вступает в силу поэтапно до 2026 года.

Документ создаёт систему рисков: от запрещённых применений ИИ до требований для высокорисковых систем.

4 уровня риска по AI Act

Неприемлемый риск (запрещено): системы социального рейтинга в стиле Китая, манипуляция поведением, биометрическое слежение в реальном времени, ИИ для эксплуатации уязвимых групп.
Высокий риск (строгое регулирование): ИИ в кредитном скоринге, медицинской диагностике, найме персонала, управлении критической инфраструктурой. Требуются: реестры, аудит, человеческий контроль.
Ограниченный риск (прозрачность): чат-боты должны раскрывать, что они ИИ. Дипфейки должны быть маркированы.
Минимальный риск (нет требований): спам-фильтры, ИИ в видеоиграх, рекомендательные системы.

Правила для GPT и frontier моделей

AI Act вводит отдельный класс — General Purpose AI (GPAI) models. Для мощных моделей (более 10^25 FLOP при обучении) требуется:

Оценка системных рисков
Adversarial testing (red-teaming)
Уведомление регулятора об инцидентах
Раскрытие данных для обучения (в пределах авторского права)

OpenAI, Anthropic, Google — все должны соответствовать этим требованиям для работы в ЕС.

Влияние на разработчиков

Для разработчиков ИИ-продуктов в ЕС (или обслуживающих европейских пользователей):

Аудит и документация — для высокорисковых систем нужна детальная техдокументация
Human oversight — в критических решениях должен участвовать человек
Штрафы — до €35 млн или 7% мирового оборота (сопоставимо с GDPR)
Конкурентное преимущество — compliance может стать барьером входа для малого бизнеса

AI Act и Россия

Российские компании, работающие с европейскими клиентами или партнёрами, де-факто попадают под требования AI Act (аналогично GDPR). Внутри России формируется собственная регуляторная база: ГОСТ по ИИ, экспериментальные правовые режимы для ИИ-продуктов.

Таблица требований AI Act по группам риска

Уровень риска	Примеры систем	Требования	Санкции за нарушение
Неприемлемый риск	Социальный скоринг граждан, биометрическое наблюдение в реальном времени	Полный запрет с августа 2024	До €35 млн или 7% оборота
Высокий риск	HR-системы найма, медицинская диагностика, кредитный скоринг, системы правосудия	Обязательная сертификация, документация, аудит, регистрация в EU базе данных	До €15 млн или 3% оборота
Ограниченный риск	Чат-боты, deepfake-генераторы, эмоциональный анализ	Обязательное раскрытие: «вы общаетесь с ИИ»	До €7.5 млн или 1.5% оборота
Минимальный риск	Игровые ИИ, спам-фильтры, рекомендации контента	Нет обязательных требований (добровольный кодекс)	Нет
GPAI (General Purpose AI)	GPT-4, Claude, Gemini	Техдокументация, соответствие авторским правам, оценка системных рисков для мощных моделей	До €15 млн или 3% оборота

График вступления AI Act в силу

Август 2024: запрет систем неприемлемого риска
Август 2025: требования к GPAI-моделям (обязательная техдокументация, copyright политика)
Август 2026: полный пакет требований для высокорисковых систем
Август 2027: требования для высокорисковых систем в регулируемых секторах (медицина, транспорт)

Что означает AI Act для компаний-разработчиков ПО

SaaS-продукты с ИИ: необходимо провести классификацию риска каждого функционала. HR-модуль для отбора резюме — автоматически высокий риск
Чат-боты: обязательное уведомление пользователя о взаимодействии с ИИ — это касается даже customer support ботов
Поставщики моделей: для GPAI с вычислительными затратами >10²⁵ FLOP — полный пакет системной оценки рисков
Штрафы реальны: в 2025 году уже выдано несколько предупреждений итальянским регулятором (Garante) компаниям, нарушившим требования раскрытия

AI Act vs других юрисдикций

США: Executive Order отменён в 2025 — Biden's EO on AI отозван Трампом. Федерального закона нет, регулирование на уровне штатов (Калифорния, Техас, Иллинойс)
Китай: Временные меры по генеративному ИИ (2023) — обязательная верификация контента и регистрация алгоритмов
Великобритания: принципиальный подход без единого закона — секторальные регуляторы адаптируют существующие правила
Россия: экспериментальный правовой режим в Москве для ИИ-систем, федерального аналога AI Act нет