Твій АІ гайд або як ІТ та стартапам підготуватися до AI-регулювання

Ключові регуляторні ініціативи: що на горизонті

ЄС. Ухвалив AI Act — перше у світі комплексне законодавство у сфері штучного інтелекту. Закон класифікує всі системи ШІ за чотирма рівнями ризику. Наприклад, неприйнятний ризик — це системи, що можуть серйозно порушити основні права людини: наприклад, соціальний скоринг або маніпулятивне використання емоцій. Їх використання буде повністю заборонене в ЄС з 2 лютого 2025 року. Мінімальний ризик охоплює інструменти, як-от фільтри спаму або рекомендовані системи — вони не підлягають спеціальному регулюванню, але мають відповідати принципам етики та безпеки.

Закон також встановлює окремі вимоги для моделей загального призначення (GPAI) — великих моделей ШІ, які навчаються на масивах даних і можуть застосовуватись у різних галузях. Для забезпечення ефективного впровадження AI Act створено Європейський офіс ШІ (AI Office), який координуватиме дотримання вимог на рівні держав-членів.

Додатково планується запуск AI Act Service Desk — спеціального сервісу підтримки для бізнесу. Він має допомогти насамперед малим і середнім підприємствам адаптувати свої продукти до вимог нового законодавства. Європейська стратегія також включає активне стимулювання інвестицій в інновації: план передбачає трансформацію традиційних індустрій за допомогою ШІ та залучення

США. У 2023 році президент Байден видав Виконавчий Указ 14110, який зобов’язував компанії перевіряти свої AI-системи на безпечність. Але у 2025 році новий президент Трамп скасував цей документ. Замість цього він запропонував створити нову стратегію розвитку AI з меншими обмеженнями. Водночас деякі штати, як-от Каліфорнія, розробляють свої закони. Відбувається розробка плану дій щодо ШІ, проте на якій стадії перебуває документ наразі невідомо.

Велика Британія. Працює над законом про безпеку ШІ і вже створила спеціальний інститут для перевірки таких технологій. Уряд створив спеціальний Інститут безпеки ШІ, який згодом перейменували на Інститут захисту ШІ.

Канада. Розробляє власний закон — AIDA (Artificial Intelligence and Data Act), який включатиме вимоги до оцінки ризиків у системах ШІ. Вимоги до компаній щодо пояснення, як працюють їхні системи ШІ, і які дані вони використовують, а також вимоги щодо етичності ШІ.

Україна. Наразі не має окремого закону про штучний інтелект, однак має гармонізувати своє законодавство з європейськими стандартами, зокрема з AI Act ЄС. У цьому контексті Міністерство цифрової трансформації розробило “Білу книгу” з регулювання ШІ — документ, що формує бачення держави щодо правового підходу до ШІ, адаптованого до українських реалій. Окрім цього, Міністерство цифрової трансформації активно просуває ініціативи у сфері ШІ: зокрема, створення LLM-моделі українською мовою та запуск регуляторної пісочниці для тестування інноваційних рішень із використанням ШІ у контрольованому середовищі. Ці кроки мають не лише гармонізувати українські норми з європейськими, а й забезпечити розвиток локальних ШІ-ініціатив на глобальному рівні.

Чи стосується вас регулювання на прикладі АІ акту в ЄС?

Регулювання штучного інтелекту в ЄС, зокрема AI Act, має екстериторіальну дію. Воно поширюється не лише на компанії, зареєстровані в ЄС, але й на будь-які організації з інших країн, якщо вони постачають AI-системи на європейський ринок або їхнє використання впливає на фізичних осіб у межах ЄС. Щоб визначити, чи підпадає ваша діяльність під сферу дії AI Act, варто звернути увагу на такі запитання:

Чи є AI частиною вашого продукту або бізнес-процесів?

Якщо штучний інтелект використовується у розробці, впровадженні або експлуатації ваших рішень, це вже може підпадати під регулювання — особливо, якщо результат взаємодіє з користувачами в ЄС або впливає на прийняття рішень щодо них.

Ваша роль в AI-ланцюгу

Один із ключових аспектів AI-регулювання — це ваша роль у ланцюгу постачання ШІ-систем. AI Act визначає конкретні обов’язки для кожного типу учасника:

• Постачальники (Providers). Відповідають за відповідність AI-систем вимогам прозорості, безпеки та управління ризиками.
• Користувачі (Deployers). Це ті, хто застосовує AI у своїй діяльності.
• Посередники (Distributors). Забезпечують надійне розповсюдження AI-продуктів у межах ЄС.
• Представники (Authorized Representatives). Призначаються для взаємодії з регуляторами від імені постачальника. 
• Імпортери (Importers). Відповідають за те, щоб продукти, які потрапляють на ринок ЄС, відповідали всім вимогам AI Act. 

Розуміння своєї ролі допоможе вам точніше визначити обов’язки та уникнути порушень регуляторних норм.

Чи використовуєте ви сторонні AI-рішення у своїх продуктах чи послугах?

Навіть у тому випадку, якщо ви не розробляєте власні моделі, а лише інтегруєте сторонні інструменти — наприклад, через API від OpenAI — ви можете нести відповідальність за їхнє використання. Це особливо важливо, якщо продукт виходить на ринок ЄС: в такому разі вам потрібно переконатися, що інтегровані AI-сервіси відповідають вимогам прозорості, безпеки й захисту даних.

За прогнозом Gartner, до 2027 року більшість компаній, які використовують AI — повинні будуть дотримуватись нових правил, навіть якщо самі себе не вважають AI-компаніями. Для українського IT-сектору це особливо актуально: за даними IT Ukraine Association, у 2023 році ІТ-експорт склав $6,7 млрд, і значна частина цієї суми припадає на рішення з використанням AI. Якщо ви працюєте з ринками ЄС, США або Канади — ці зміни вже стосуються вас.

Що вже можна зробити: чек-лист дій

Підготовка до AI-регулювання — це не тягар, а можливість вийти вперед на конкурентному ринку. Для українських ІТ-компаній, які експортують багато своїх продуктів до ЄС і США, ранні дії означають економію ресурсів і довіру клієнтів. Ось п’ять практичних кроків, які можна розпочати сьогодні:

• Проведіть звірку AI-функціоналу. З’ясуйте, де ваш бізнес використовує AI: у продуктах (наприклад, чат-боти, рекомендаційні системи) чи внутрішніх процесах (аналітика, автоматизація). Це допоможе зрозуміти масштаб регуляторних вимог. 
• Оцініть ризики за категоріями AI Act. Визначте рівень ризику вашої  AI-системи. Наприклад, високоризикові системи, потребують суворішого комплаєнсу.
• Створіть етичну політику та AI Governance framework. Розробіть внутрішні правила використання AI, які гарантують прозорість і недискримінацію. Простий приклад — прописати, як ви уникаєте упередженості в алгоритмах.
• Документуйте процеси. Фіксуйте, джерела даних для AI-системи, як навчаються моделі та як контролюються результати. Це основа для аудитів, які передбачені AI Act і доказ вашої прозорості.

Продемонструйте етичну відповідальність. Дотримання етичних принципів у сфері AI — це не лише вимога часу, а й елемент довіри. Орієнтація на міжнародні стандарти, зокрема рекомендації ОЕСР, UNESCO або IEEE, сприяє формуванню прозорих практик. Участь у професійних ініціативах, таких як AI Ethics Impact Group, є одним зі способів підтримувати

Помилки, яких слід уникати

Очікування до 2026 року — хибна стратегія. За даними European DIGITAL SME Alliance, адаптація до AI Act для високоризикових систем може зайняти 12–18 місяців, а штрафи за невідповідність — до €35 млн або 7% світового обороту. Зволікання збільшує ризик перевірок і непередбачених витрат.

Перекидання відповідальності на третіх осіб та ігнорування оформлення документації. Аутсорсери чи інтегратори часто думають, що комплаєнс — це проблема замовника. Проте без чітких контрактних умов відповідальність може повернутися до розробника. Згідно Artificial Intelligence Cybersecurity Challenges від ENISA, у 2024  році 25% кібератак у ЄС були пов’язані з вразливостями в AI-системах через недостатній контроль даних. Якщо ваш AI-модуль стане джерелом проблеми, клієнт чи регулятор може притягнути до відповідальності саме вас, якщо контракти не розподіляють ролі.

Компанії, які не декларують принципи відповідального використання AI, ризикують втратити довіру. За даними Edelman, 34% європейських споживачів готові відмовитися від брендів, що непрозоро використовують AI, а скандали з упередженістю алгоритмів у 2023–2024 роках спричинили падіння ринкової вартості компаній на 12%. Прозорість і етична політика стають критично важливими, особливо на ринку ЄС.

Документація та політики: що варто оновити вже зараз

AI Act встановлює різний обсяг обов’язкової документації залежно від рівня ризику системи. Чим вищий ризик — тим жорсткіші вимоги до технічної документації, процедур оцінки відповідності та внутрішніх політик.

Компаніям варто переглянути:

• Технічну документацію — вона має відображати мету використання AI, джерела даних, механізми навчання, тестування, моніторингу та управління ризиками.
• Політику конфіденційності (Privacy Policy) — потрібно чітко зазначити, які AI-механізми обробляють персональні дані, і на яких правових підставах.
• Умови використання (Terms of Use) — варто прописати, яку роль відіграє AI у роботі сервісу, які ризики передбачені та як розподіляється відповідальність між сторонами.
• Внутрішні політики AI-комплаєнсу — бажано впровадити єдині стандарти управління AI-системами, які охоплюють етичні принципи, процедури оцінки та оновлення моделей.

За результатами опитування AI Multiple, 77% компаній уже визначили AI-комплаєнс як пріоритет, а 69% — впровадили базові етичні практики. Такі дії не лише полегшують проходження майбутніх аудитів і демонструють відповідність вимогам, але й підвищують довіру з боку клієнтів, партнерів і регуляторів.

Практичні кейси з досвіду Barbashyn Law Firm

Ми супроводжували низку українських компаній у процесі адаптації їхніх AI-продуктів до нових вимог регулювання. Нижче — два приклади кейсів, які демонструють різні підходи до відповідності AI Act залежно від ролі в ланцюгу постачання та типу AI-рішень.

Кейс 1: AI у сфері HR та фінансів. Український стартап інтегрував AI-модуль у своє HR/фінтех-рішення, орієнтоване на ринок ЄС. Відповідно до AI Act, компанія класифікується як провайдер, що покладає на неї юридичні обов’язки щодо забезпечення відповідності AI-рішення вимогам законодавства. У співпраці з Barbashyn Law Firm компанія реалізувала такі кроки для забезпечення відповідності:

• класифікація системи як високоризикової;
• розробка базової технічної документації та політик;
• оновлення Terms of Use і Privacy Policy;
• впровадження пояснень логіки AI та механізмів прозорості.

Це допомогло виявити правові та репутаційні загрози, чітко визначити зобов’язання сторін і забезпечити відповідність. Такі кроки зменшили ризик штрафів і підвищили довіру до бізнесу.

Кейс 2: Інтеграція сторонніх AI-сервісів. Компанія, яка інтегрувала сторонній AI – сервіс у свою B2B-платформу для аналітики, діяла як дистриб’ютор у ланцюгу постачання. Відповідно до AI Act, на неї поширюються вимоги щодо перевірки відповідності, прозорості та контролю за використанням AI-систем. Практичні кроки, реалізовані стартапом:

• перевірка AI-постачальника на відповідність;
• включення зобов’язань до контрактної документації;
• оновлення внутрішньої політики інтеграції;
• комунікація з користувачами про наявність AI-функціоналу.

Компанія, яка не розробляє AI самостійно, все одно несе юридичну відповідальність за його використання. Комплексна документація дозволяє уникнути непередбачуваних питань під час аудиту чи перевірки.

Висновки

Регулювання штучного інтелекту більше не є питанням майбутнього — воно вже формує правила гри на ключових ринках, таких як ЄС. Для компаній, що працюють із технологіями ШІ, важливо не просто слідкувати за змінами, а глибоко розуміти очікування регуляторів: як щодо прозорості, так і щодо розподілу відповідальності в ланцюгу постачання. Різні юрисдикції формують власні підходи, однак у ЄС вже зараз діє чітка структура вимог через AI Act. Це означає: якщо компанія прагне вийти на європейський ринок або вже там працює — перше, що потрібно зробити, це визначити роль у ланцюгу, класифікувати AI-систему за рівнем ризику та перевірити відповідність документації.

Європейський приклад демонструє: прозорість, пояснюваність та відповідальність стають обов’язковими елементами, а не додатковими опціями. Компанії, які вже сьогодні оновлюють внутрішні політики, Terms of Use, Privacy Policy та формують декларативні принципи етичного використання AI, отримують стратегічну перевагу. Підготовка до AI Act — це не лише формальність, а інструмент управління ризиками, підвищення стійкості бізнесу та професійної репутації. Настав час діяти: систематизуйте процеси, впроваджуйте зрозумілі правила і переходьте від реакції до управління.

Опубліковано AIN.UA

Посилання на статтю