Beancount.io LogoBeancount.io

Законът на ЕС за ИИ влиза в сила за американските SaaS компании този август: Практическо ръководство за съответствие

16 минути четенеMike ThriftMike Thrift
Законът на ЕС за ИИ влиза в сила за американските SaaS компании този август: Практическо ръководство за съответствие

Ако предоставяте софтуер на клиент в Берлин, Париж или Амстердам — и вашият продукт е свързан с ИИ по почти какъвто и да е начин — 2 август 2026 г. е датата, която трябва да бъде оградена в календара ви за съответствие. Това е денят, в който Регламент (ЕС) 2024/1689, по-известен като Законодателния акт на ЕС за ИИ (EU AI Act), става напълно приложим по отношение на задълженията за прозрачност, и правомощията на Комисията за прилагане спрямо моделите на ИИ с общо предназначение влизат в действие. Глобите могат да достигнат 7% от глобалния годишен оборот. И не, няма значение, че централата ви е в Сан Франциско, сървърите ви са във Вирджиния и екипът ви никога не е стъпвал в Брюксел.

Повечето американски основатели, с които разговаряме, имат ментален модел за Законодателния акт на ЕС за ИИ, заимстван от GDPR: няколко банера за бисквитки, актуализация на политиката за поверителност, може би Допълнение за обработка на данни (DPA). Актът за ИИ е различен. Той регулира продукта, а не само данните. Той разпределя задълженията според ролята — доставчик, внедрител, дистрибутор, вносител, упълномощен представител — и налага предпазарни оценки на съответствието, техническа документация, мониторинг след пускане на пазара и регистрация в база данни за целия ЕС, преди високорискова система да може законно да достигне до европейски потребител. Санкциите са по-големи от тези при GDPR. Обхватът на въпросниците при обществени поръчки е по-широк. А законът има екстериториално действие, заложено в Член 2.

Това ръководство разглежда какво всъщност трябва да направят американските SaaS компании, доставчиците на фундаментални модели и разработчиците на ИИ агенти от сега до следващия набор от крайни срокове, в приблизителния ред, в който трябва да го направите.

Стъпка първа: Разберете дали Актът се прилага за вас

Обхватът на Акта е по-широк, отколкото повечето американски основатели очакват. Член 2 обхваща:

  • Доставчици, пускащи системи с ИИ на пазара на ЕС или въвеждащи ги в експлоатация в ЕС, независимо къде е установен доставчикът
  • Внедрители (вашите клиенти), намиращи се в ЕС
  • Доставчици и внедрители, намиращи се извън ЕС, когато изходният резултат от системата с ИИ се използва в ЕС

Последната точка е капанът. Ако вашата базирана в САЩ система с ИИ обработва транскрипция, генерира маркетингов имейл, оценява автобиография или резюмира договор и полученият изходен резултат се използва от получател, базиран в ЕС, вие попадате в обхвата, дори ако никой европеец не докосва директно вашия API. Доставчик на правни технологии от САЩ, чиито резюмета попадат в преписка на нидерландска адвокатска кантора, е в обхвата. Американски инструмент за подбор на персонал, чиито класации на кандидати се преглеждат от мениджър по наемането в Мюнхен, е в обхвата. Американски чатбот, вграден в SaaS приложение, продадено на френски клиент, е в обхвата.

Практическият филтър за повечето B2B SaaS компании е по-лесен: ако някой от вашите плащащи клиенти или крайните потребители на вашите клиенти са в ЕС, приемете, че Актът се прилага и действайте според това.

Стъпка втора: Класифицирайте вашата роля и нивото на риск на вашата система

Актът разпределя задълженията въз основа на това какво правите, а не как се наричате. Повечето SaaS компании попадат в една или повече от тези категории едновременно:

  • Доставчик — пускате система с ИИ на пазара под собственото си име или търговска марка. Това са почти всички доставчици на SaaS, които предлагат функции с ИИ.
  • Внедрител — използвате система с ИИ под ваше ръководство (например използвате модел на трета страна във вашия продукт). Внедрителите имат по-леки задължения от доставчиците, но те са реални.
  • Доставчик на модел с ИИ с общо предназначение — разработвате или донастройвате фундаментален модел, който може да се използва за много задачи. Повечето американски SaaS компании не са доставчици на GPAI; вие използвате GPAI модели от някой друг. Но ако донастройвате Llama или изграждате свой собствен фундаментален модел, може да сте престъпили границата.
  • Упълномощен представител — изисква се за доставчици извън ЕС на високорискови системи и GPAI модели (повече за това по-долу).

Класификацията на риска е втората ос. Актът създава четири нива:

НивоПримериКакво означава
Неприемлив (Член 5)Социално оценяване, разпознаване на емоции на работното място, нецелево извличане на изображения на лицаИзрично забранени от 2 февруари 2025 г.
Високорисков (Приложение III)ИИ, използван при наемане на работа, кредитно оценяване, прием в учебни заведения, биометрична идентификация, критична инфраструктура, правоприлаганеПълна оценка на съответствието, маркировка CE, регистрация в база данни на ЕС
Ограничен риск (Член 50)Чатботове, генератори на deepfake, разпознаване на емоции (извън работното място)Единствено оповестяване на прозрачност
Минимален рискФилтри за спам, ИИ във видеоигри, класиране в търсачки, подобрено от ИИБез специфични задължения

Повечето американски B2B SaaS продукти, които са добавили ИИ функция към съществуващи работни процеси, попадат в категорията с ограничен риск и имат задължения за прозрачност съгласно Член 50. Изключенията са важни: всичко, което докосва решения за заетост, прием в образование, кредитоспособност, биометрия или основни обществени услуги, преминава във високорисковата категория и изисква значително повече усилия.

Стъпка три: Планирайте крайните срокове, които се отнасят за вас

Задълженията по Акта се въвеждат поетапно в продължение на три години. Ето пречистения график в настоящия му вид:

  • 2 февруари 2025 г. — Забранените практики в областта на ИИ (член 5) и задълженията за грамотност в областта на ИИ (член 4) станаха изпълними. Ако вашият продукт прилага някоя от забранените практики по член 5, спрете. Днес.
  • 2 август 2025 г. — Влязоха в сила разпоредбите за управление и задълженията за модели на ИИ с общо предназначение (GPAI). Новите модели на GPAI, пуснати след тази дата, трябва да съответстват незабавно. Моделите, съществували преди тази дата, имат срок до 2 август 2027 г.
  • 2 август 2026 г. — Голямата дата. Задълженията за прозрачност по член 50 стават изпълними. Задълженията за високорискови системи съгласно Приложение III стават изпълними. Влизат в сила правомощията на Комисията за прилагане спрямо моделите на GPAI, включително възможността за налагане на глоби. Изискването по член 22 за упълномощен представител за доставчици на високорискови системи извън ЕС става оперативно.
  • 2 август 2027 г. — Предварително съществуващите модели на GPAI трябва да постигнат пълно съответствие. Високорисковите системи, вградени в вече регулирани продукти (играчки, медицински изделия, машини), попадат в рамката на Акта.
  • 2 декември 2027 г. — Високорисковите системи, които вече се използват в специфични категории от Приложение III (биометрия, критична инфраструктура, образование, заетост, миграция, убежище, граничен контрол), трябва да постигнат съответствие.
  • 2 август 2028 г. — Високорисковите системи, вградени в регулирани продукти (асансьори, играчки и др.), достигат пълно прилагане.

За типична щатска SaaS компания, предоставяща чатбот или AI асистент на клиенти в ЕС, практическият краткосрочен краен срок е 2 август 2026 г. за прозрачността по член 50. За доставчиците на базови модели и платформи за AI агенти, прозорецът за прилагане на GPAI се отваря на същия ден.

Стъпка четири: Изпълнете изискванията за прозрачност по член 50

Ако вашият продукт е в категорията с ограничен риск, това е разделът, който е най-важен. Член 50 изисква четири специфични оповестявания:

  1. Оповестяване за чатбот: Ако дадено лице взаимодейства със система с ИИ, то трябва да бъде информирано за това — освен ако това не е очевидно от контекста. „Очевидно“ е дума с голяма тежест в това изречение. Консервативното тълкуване е да се добави изрично оповестяване при първото взаимодействие.
  2. Маркиране на синтетично съдържание: Генерираното или манипулирано от ИИ съдържание под формата на изображение, аудио, видео или текст трябва да бъде маркирано в машинночетим формат, откриваем като изкуствен. Това на практика означава воден знак или метаданни за произход (например C2PA).
  3. Етикетиране на дийпфейк (deepfake): Съдържанието, представляващо дийпфейк, трябва да бъде етикетирано като изкуствено генерирано или манипулирано.
  4. Етикетиране на текстове от обществен интерес: Текст, генериран от ИИ, публикуван с цел информиране на обществеността по въпроси от обществен интерес, трябва да бъде оповестен като генериран от ИИ, освен ако не е преминал през човешки преглед с редакционна отговорност.

Изграждането на този слой за оповестяване не е технически трудно, но изисква координация между продуктовия отдел, дизайна и правния отдел. Няколко модела, които сме виждали да работят:

  • Малка значка „подпомогнато от ИИ“ (AI-assisted) в чат интерфейсите, с подсказка (tooltip), водеща към по-подробна страница за оповестяване.
  • Метаданни за произход, вградени в момента на генериране чрез стандарта C2PA, за всички медийни изходи.
  • Библиотека с одобрени низове за оповестяване, локализирани на всички езици в ЕС, на които се предлага продуктът ви.
  • Вътрешна политика, според която всяко съдържание от „обществен интерес“ (резюмета на новини, политически теми, здравна информация) преминава през редакционен преглед от човек и се вписва в регистър.

Стъпка пет: Назначете упълномощен представител в ЕС (ако имате нужда от такъв)

Член 22 изисква от доставчиците, установени в трети държави — включително САЩ — да назначат с писмен мандат упълномощен представител в ЕС, преди да пуснат високорискова система с ИИ на пазара на Съюза. Член 54 налага подобно задължение на доставчиците на модели на GPAI.

Ако предоставяте само системи с ограничен риск със задължения за прозрачност по член 50, не се нуждаете от представител по член 22. Ако предоставяте високорискови системи или модели на GPAI, такъв ви е необходим — а търсенето му отнема време. Задълженията на представителя включват:

  • Проверка дали ЕС Декларацията за съответствие и техническата документация са изготвени.
  • Съхраняване на документацията на разположение на националните компетентни органи в продължение на десет години.
  • Сътрудничество с органите относно коригиращи действия, изтегляне или изземване.
  • Препращане на жалби, доклади за инциденти и уведомления за сериозни инциденти към вас.
  • Прекратяване на мандата (и уведомяване на органите), ако не изпълните задълженията си.

Представителят не може да поеме вашите основни задължения като доставчик съгласно членове 9 до 17 — тази отговорност остава ваша. Те са по същество вашето отговорно присъствие в ЕС и вашата точка за контакт с Службата за ИИ и националните органи за надзор на пазара.

Цените за услугите на упълномощен представител се стабилизираха в диапазона от €5,000 до €25,000 на година за по-малки доставчици, в зависимост от сложността на системата, броя на обслужваните държави членки на ЕС и обхвата на прегледа на документацията. Планирайте бюджета за това по същия начин, по който планирате бюджета за регистриран агент в Делауеър.

Стъпка шест: Изградете пакета от документация

Независимо дали предоставяте високорискова система или модел на GPAI, вие дължите „хартиена следа“. Актът изброява няколко документа, които трябва да съществуват и да се поддържат актуални:

  • Техническа документация (Приложение IV за високорискови системи, Приложение XI за модели на GPAI) — архитектура на системата, практики за управление на данните, методология на обучение, резултати от оценката, известни ограничения.
  • Документация на системата за управление на риска (член 9) — идентифициране на предвидими рискове, мерки за смекчаване, критерии за приемане на остатъчния риск.
  • Документация за управление на данните (член 10) — източници на данни за обучение, валидиране и тестване, критерии за качество на данните, проверка за пристрастия (biases).
  • Записи от логване (член 12) — автоматични регистрационни файлове на събития с достатъчно детайли, за да се даде възможност за мониторинг след пускане на пазара.
  • Проектиране на човешки надзор (член 14) — как операторите хора могат да интерпретират изходните данни, да се намесват, да отменят или да изключват системата.
  • План за мониторинг след пускане на пазара (член 72) — как ще събирате, анализирате и реагирате на данни за производителността и инциденти в реални условия.
  • ЕС Декларация за съответствие (член 47) — правното удостоверяване, че вашата система отговаря на изискванията на Акта.
  • Маркировка „CE“ — поставена върху продукта, указваща съответствие.

За доставчиците на GPAI, Кодексът за добри практики, публикуван от Службата за ИИ през юли 2025 г., се превърна в де факто база за съответствие. Той е доброволен, но приемането му демонстрира добросъвестно придържане и ви осигурява благоприятно третиране при всяка последваща оценка на изпълнението. Трите глави на Кодекса — Прозрачност, Авторско право и Безопасност и сигурност — следват плътно това, което Службата за ИИ ще търси, когато започне да упражнява правомощията си за прилагане през август 2026 г.

Стъпка седма: Подгответе се за вълната от въпросници за подбор на доставчици

За повечето щатски SaaS компании първата практическа проява на Акта за ИИ на ЕС няма да бъде почукване на вратата от Службата за ИИ. Това ще бъде въпросник за подбор на доставчици от правния екип на европейски клиент, в който се пита кои модели използвате, върху какви данни за обучение са изградени, какви контроли имате за предотвратяване на забранени употреби, как изглеждат вашите договорености за съхранение на данни (data residency) и дали имате представител по Член 22.

Тези въпросници пристигат сега — много преди датата за прилагане през август 2026 г. — защото европейските купувачи искат да си осигурят съвместими доставчици преди крайния срок. Циклите на продажби стават по-дълги в регулираните индустрии (финанси, здравеопазване, държавно управление, образование), тъй като купувачите добавят специфична проверка (due diligence) за Акта за ИИ. Основателите, които могат да отговорят уверено на въпросника още през първата седмица на цикъла на продажби, ще сключват сделки, които техните по-малко подготвени конкуренти ще губят.

Създайте сега постоянен информационен пакет за Акта за ИИ. Той трябва да включва:

  • Резюме от една страница за вашата роля (доставчик/внедрител/и двете), категория на риска и приложими задължения
  • Списък на използваните от вас основни модели с информация за под-обработващите органи и данни в стил DPA (споразумение за обработка на данни)
  • Вашите оповестявания за прозрачност (Член 50)
  • Вашата документация за управление на данни и данни за обучение, редактирана при необходимост
  • Вашата процедура за реагиране при инциденти и докладване на сериозни инциденти
  • Копие от мандата на вашия упълномощен представител, ако е приложимо

Как се вписват GDPR, Актът за данните и Актът за цифровите услуги (DSA)

Актът за ИИ не заменя съществуващото право на ЕС. Той се наслагва върху него. Една високорискова система, която обработва лични данни, се регулира както от Акта за ИИ, така и от GDPR, като задълженията се натрупват. Член 26, параграф 8 от Акта за ИИ изрично запазва изискването на GDPR за оценка на въздействието върху защитата на данните (DPIA) за високорискови внедрители. Задълженията за споделяне на данни и прехвърляне съгласно Акта за данните се прилагат заедно със съответствието по Акта за ИИ. Правилата на Акта за цифровите услуги (DSA) относно прозрачността на системите за препоръчване се прилагат в допълнение към Член 50.

На практика това означава, че вашата програма за съответствие се нуждае от интегриран регистър. Една-единствена функция с ИИ може да задейства DPIA по GDPR, оценка на риска по Акта за ИИ, оповестяване по Член 50, доклад за прозрачност на системата за препоръчване по DSA и ангажимент за преносимост по Акта за данните. Разглеждането им като отделни работни потоци е начинът, по който се допускат грешки. Третирането им като единна програма със споделена документация е начинът да запазите разсъдъка си.

Как всъщност изглеждат глобите

Структурата на санкциите в Акта съгласно Член 99 има три нива:

  • Забранени практики (нарушения на Член 5): До 35 милиона евро или 7% от годишния световен оборот, което от двете е по-високо
  • Повечето други задължения (Членове 8-15, Член 50, задължения за ИИ с общо предназначение по Член 101): До 15 милиона евро или 3% от годишния световен оборот, което от двете е по-високо
  • Подвеждаща информация пред органите: До 7,5 милиона евро или 1% от годишния световен оборот, което от двете е по-високо

За МСП, включително стартъпи, глобите са ограничени до по-ниската от двете суми, а не до по-високата. Това е реална отстъпка, но 1% от приходите все още е значителна цифра за SaaS компания от Серия B, а „МСП“ съгласно дефинициите на ЕС достига до 50 милиона евро оборот — повечето американски SaaS компании в етап на растеж са над тази граница.

Първата вълна от правоприлагащи действия в края на 2026 и 2027 г. вероятно ще бъде насочена към най-големите и видими доставчици — лаборатории за базови модели и големи потребителски ИИ продукти. Но националните органи за надзор на пазара имат широки правомощия, а разследванията, породени от жалби, могат да бъдат насочени към всеки доставчик. Планирайте за средния сценарий, а не за най-лошия: вероятно няма да сте първият глобен, но не искате да бъдете основателят, който обяснява на борда защо приходите на компанията от ЕС сега са блокирани в очакване на план за коригиращи действия.

Вградете съответствието в инженерния процес, а не около него

Екипите по съответствие, които се борят най-много с Акта за ИИ, са тези, които го третират като юридическо упражнение, прикрепено към готов продукт. Екипите, които се справят чисто, го третират като системно проектно ограничение: управление на данни, вградено в слоя за данни, регистриране (logging), вградено в слоя за извод (inference), човешки надзор, вграден в UX, и оповестявания за прозрачност, вградени в библиотеката с компоненти. Изискванията на Акта са предимно неща, които един добре проектиран ИИ продукт така или иначе трябва да прави — надеждна оценка, ясна документация, структурирано реагиране на инциденти, прозрачен UX. Актът просто ги прави законово задължителни.

Специално за щатските основатели, промяната в мисленето е признаването, че ЕС не е незадължителен пазар, който можете да отложите за „по-късно“. Екстериториалният обхват на Акта чрез „резултат в ЕС“ означава, че дори малки B2B договори могат да ви вкарат в неговия обхват. А динамиката на въпросниците за подбор на доставчици означава, че готовността е конкурентно предимство точно сега, а не просто елемент от списъка със задачи за съответствие.

Поддържайте и финансовите си записи готови за одит

Ако мащабирате SaaS компания в ЕС, съответствието с Акта за ИИ е част от едно по-голямо предизвикателство за документацията. Ще ви трябват също чисти финансови записи, обосновано признаване на приходите за абонаменти в множество юрисдикции, документация за трансферно ценообразуване и VAT-MOSS декларации. Същият инженерен инстинкт, който движи чистата, версионирана документация за съответствие, трябва да движи и вашето финансово счетоводство: в обикновен текст (plain-text), подлежащо на одит и проверка от човек или от ИИ одитор.

Поддържайте финансите си толкова прозрачни, колкото и вашия изкуствен интелект

По-дълбокият урок от Акта за ИИ (AI Act) — че документацията, възможността за одит и прозрачността вече са конкурентни предимства — се прилага еднакво добре и за вашите финансови отчети. Beancount.io предлага счетоводство в текстов формат (plain-text accounting), което ви осигурява пълна прозрачност и контрол на версиите върху вашите финансови записи, със същата четима от хора и обработваема от машини структура, която изисква съвременното съответствие. Без „черни кутии“, без обвързване с конкретен доставчик и с дневник, който одитор (или вашият собствен AI агент) може да прочете директно. Започнете безплатно и вижте защо разработчиците и финансовите специалисти, изграждащи ориентирани към ИИ компании, преминават към счетоводство в текстов формат.