Beancount.io LogoBeancount.io

Закон ЄС про ШІ поширюється на SaaS-компанії США вже у серпні: практичний посібник із дотримання вимог

15 хв. читанняMike ThriftMike Thrift
Закон ЄС про ШІ поширюється на SaaS-компанії США вже у серпні: практичний посібник із дотримання вимог

Якщо ви постачаєте програмне забезпечення клієнту в Берліні, Парижі чи Амстердамі — і ваш продукт хоч якось пов’язаний із ШІ — 2 серпня 2026 року — це дата, яку слід обвести у вашому календарі комплаєнсу. Це день, коли Регламент (ЄС) 2024/1689, більш відомий як Закон ЄС про ШІ, стає повністю обов’язковим до виконання щодо зобов’язань прозорості, а також набувають чинності повноваження Комісії щодо нагляду за моделями ШІ загального призначення. Штрафи можуть сягати 7% від річного світового обороту. І ні, не має значення, що ваша штаб-квартира знаходиться в Сан-Франциско, ваші сервери — у Вірджинії, а ваша команда ніколи не бувала в Брюсселі.

Більшість американських засновників, з якими ми спілкуємося, мають ментальну модель Закону ЄС про ШІ, запозичену з GDPR: кілька банерів про файли cookie, оновлення політики конфіденційності, можливо, Додаток про обробку даних. Закон про ШІ інший. Він регулює продукт, а не лише дані. Він розподіляє обов’язки за ролями — постачальник, впроваджувач, дистриб’ютор, імпортер, уповноважений представник — і накладає зобов’язання щодо передринкової оцінки відповідності, технічної документації, післяринкового моніторингу та реєстрації в базі даних ЄС, перш ніж система високого ризику зможе легально потрапити до європейського користувача. Штрафи більші, ніж у GDPR. Радіус дії опитувальників при закупівлі ширший. А екстериторіальна дія закону закріплена у Статті 2.

Цей посібник розповідає про те, що американським SaaS-компаніям, постачальникам базових моделей та розробникам ШІ-агентів насправді потрібно зробити до настання наступних дедлайнів, приблизно в тому порядку, в якому це варто робити.

Крок перший: З’ясуйте, чи поширюється на вас дія Закону

Сфера дії Закону ширша, ніж очікує більшість американських засновників. Стаття 2 охоплює:

  • Постачальників, які вводять системи ШІ в обіг у ЄС або вводять їх в експлуатацію в ЄС, незалежно від того, де зареєстрований постачальник
  • Впроваджувачів (ваших клієнтів), розташованих у ЄС
  • Постачальників та впроваджувачів, розташованих за межами ЄС, якщо результат (output) роботи системи ШІ використовується в ЄС

Останній пункт — це пастка. Якщо ваша система ШІ, що базується в США, обробляє транскрипт, створює маркетинговий лист, оцінює резюме або резюмує контракт, і отриманий результат використовується одержувачем у ЄС, ви підпадаєте під дію закону, навіть якщо жоден європеєць ніколи не звертався до вашого API напряму. Американський вендор legal-tech, чиї резюме документів потрапляють у справу голландської юридичної фірми, підпадає під дію закону. Американський інструмент для рекрутингу, чиї рейтинги кандидатів переглядає менеджер із найму в Мюнхені, підпадає під дію закону. Американський чат-бот, вбудований у SaaS-додаток, проданий французькому клієнту, підпадає під дію закону.

Практичний фільтр для більшості B2B SaaS-компаній простіший: якщо будь-який із ваших платних клієнтів або кінцевих користувачів ваших клієнтів перебуває в ЄС, вважайте, що Закон застосовується, і дійте виходячи з цього.

Крок другий: Класифікуйте свою роль та рівень ризику вашої системи

Закон розподіляє зобов’язання залежно від того, що ви робите, а не від того, як ви себе називаєте. Більшість SaaS-компаній потрапляють в одну або кілька таких категорій одночасно:

  • Постачальник (Provider) — ви виводите систему ШІ на ринок під власним ім’ям або торговою маркою. Це майже кожен SaaS-вендор, який постачає функції ШІ.
  • Впроваджувач (Deployer) — ви використовуєте систему ШІ під вашим контролем (наприклад, ви використовуєте сторонню модель всередині свого продукту). У впроваджувачів менше зобов’язань, ніж у постачальників, але вони реальні.
  • Постачальник моделі ШІ загального призначення (GPAI) — ви розробляєте або доопрацьовуєте (fine-tune) базову модель, яка здатна виконувати багато завдань. Більшість американських SaaS-компаній не є постачальниками GPAI; ви використовуєте моделі GPAI від когось іншого. Але якщо ви доопрацьовуєте Llama або створюєте власну базову модель, ви могли перетнути цю межу.
  • Уповноважений представник — обов’язковий для постачальників систем високого ризику та моделей GPAI, які не перебувають у ЄС (докладніше про це нижче).

Класифікація ризиків — це друга вісь. Закон створює чотири рівні:

РівеньПрикладиЩо це означає
Неприйнятний (Стаття 5)Соціальний скоринг, розпізнавання емоцій на робочому місці, нецільовий скрейпінг обличПовна заборона з 2 лютого 2025 року
Високий ризик (Додаток III)ШІ для найму, кредитний скоринг, прийом до навчальних закладів, біометрична ідентифікація, критична інфраструктура, правоохоронна діяльністьПовна оцінка відповідності, маркування CE, реєстрація в базі даних ЄС
Обмежений ризик (Стаття 50)Чат-боти, генератори діпфейків, розпізнавання емоцій (поза робочим місцем)Тільки розкриття інформації щодо прозорості
Мінімальний ризикСпам-фільтри, ШІ у відеоіграх, ранжування пошуку за допомогою ШІЖодних специфічних зобов’язань

Більшість американських B2B SaaS-продуктів, які додали функції ШІ до існуючих робочих процесів, потрапляють у категорію обмеженого ризику і мають виконувати обов’язки щодо прозорості згідно зі Статтею 50. Винятки мають значення: усе, що стосується рішень про працевлаштування, прийому до навчальних закладів, кредитоспроможності, біометрії або основних державних послуг, переходить у категорію високого ризику, що є значно складнішим завданням.

Крок третій: Внесіть у календар терміни, що стосуються вас

Зобов'язання за Регламентом впроваджуються поетапно протягом трьох років. Нижче наведено уточнений графік у поточному вигляді:

  • 2 лютого 2025 року — Заборонені практики ШІ (Стаття 5) та зобов'язання щодо грамотності у сфері ШІ (Стаття 4) стали обов'язковими для виконання. Якщо ваш продукт використовує будь-які заборонені практики за Статтею 5, припиніть це. Сьогодні ж.
  • 2 серпня 2025 року — Набули чинності положення про управління та зобов'язання щодо моделей ШІ загального призначення (GPAI). Нові моделі GPAI, випущені після цієї дати, повинні негайно відповідати вимогам. Моделі, що існували до цієї дати, мають термін до 2 серпня 2027 року.
  • 2 серпня 2026 року — Наймасштабніший етап. Зобов'язання щодо прозорості за Статтею 50 стають обов'язковими. Починають діяти зобов'язання щодо систем високого ризику згідно з Додатком III. Набувають чинності повноваження Комісії щодо примусового виконання стосовно моделей GPAI, включаючи право накладати штрафи. Починає діяти вимога Статті 22 щодо уповноваженого представника для постачальників систем високого ризику з-за меж ЄС.
  • 2 серпня 2027 року — Моделі GPAI, що існували раніше, повинні повністю відповідати вимогам. Системи високого ризику, вбудовані в продукти, що вже регулюються (іграшки, медичні пристрої, обладнання), підпадають під дію Регламенту.
  • 2 грудня 2027 року — Системи високого ризику, що вже перебувають в експлуатації в конкретних категоріях Додатку III (біометрія, критична інфраструктура, освіта, зайнятість, міграція, притулок, прикордонний контроль), повинні привести діяльність у відповідність до вимог.
  • 2 серпня 2028 року — Повне застосування вимог до систем високого ризику, вбудованих у регульовані продукти (ліфти, іграшки тощо).

Для типової американської SaaS-компанії, що надає чат-бота або ШІ-асистента клієнтам у ЄС, практичним найближчим терміном є 2 серпня 2026 року для забезпечення прозорості за Статтею 50. Для постачальників базових моделей та платформ ШІ-агентів вікно примусового виконання GPAI відкривається того ж дня.

Крок четвертий: Виконайте вимоги щодо прозорості за Статтею 50

Якщо ваш продукт належить до рівня обмеженого ризику, цей розділ є найважливішим. Стаття 50 вимагає чотирьох конкретних розкриттів інформації:

  1. Розкриття інформації про чат-бота: Якщо особа взаємодіє з системою ШІ, вона повинна бути поінформована про це — за винятком випадків, коли це очевидно з контексту. Слово "очевидно" в цьому реченні несе велике смислове навантаження. Консервативний підхід полягає в додаванні явного повідомлення під час першої взаємодії.
  2. Маркування синтетичного контенту: Зображення, аудіо, відео або текстовий контент, створений або маніпульований ШІ, повинен бути маркований у машинозчитуваному форматі, придатному для виявлення як штучного. Фактично це означає нанесення водяних знаків або метаданих походження (наприклад, C2PA).
  3. Маркування діпфейків: Контент, що є діпфейком, повинен бути позначений як штучно створений або маніпульований.
  4. Маркування текстів, що становлять суспільний інтерес: Текст, створений ШІ та опублікований для інформування громадськості з питань суспільного інтересу, має бути розкритий як створений ШІ, за винятком випадків, коли він пройшов перевірку людиною з редакційною відповідальністю.

Створення цього шару розкриття інформації технічно не є складним, але вимагає координації між продуктовою командою, дизайнерами та юристами. Кілька патернів, які виявилися ефективними:

  • Невелика позначка "AI-assisted" в інтерфейсах чату з підказкою, що посилається на розширену сторінку розкриття інформації.
  • Метадані походження, вбудовані під час генерації за стандартом C2PA для будь-яких медіафайлів.
  • Бібліотека затверджених рядків для розкриття інформації, локалізована всіма мовами країн ЄС, які обслуговує ваш продукт.
  • Внутрішня політика, згідно з якою будь-який контент, що становить "суспільний інтерес" (дайджести новин, політичні теми, медична інформація), проходить редакційну перевірку людиною та реєструється.

Крок п'ятий: Призначте уповноваженого представника в ЄС (якщо він вам потрібен)

Стаття 22 вимагає від постачальників, зареєстрованих у третіх країнах (включаючи США), призначити уповноваженого представника в ЄС на підставі письмового мандата перед розміщенням системи ШІ високого ризику на ринку Союзу. Стаття 54 накладає подібне зобов'язання на постачальників моделей GPAI.

Якщо ви постачаєте лише системи обмеженого ризику із зобов'язаннями щодо прозорості за Статтею 50, представник за Статтею 22 вам не потрібен. Якщо ви постачаєте системи високого ризику або моделі GPAI — він необхідний, а пошук представника займає час. До обов'язків представника входить:

  • Перевірка наявності Декларації відповідності ЄС та технічної документації.
  • Зберігання документації для надання національним компетентним органам протягом десяти років.
  • Співпраця з органами влади щодо коригувальних заходів, вилучення або відкликання продукції.
  • Пересилання вам скарг, звітів про інциденти та повідомлень про серйозні інциденти.
  • Розірвання мандата (та повідомлення органів влади), якщо ви не виконуєте свої зобов'язання.

Представник не може взяти на себе ваші основні зобов'язання як постачальника згідно зі Статтями 9–17 — ця відповідальність залишається на вас. По суті, він є вашою підзвітною особою в ЄС та контактною точкою для Офісу з питань ШІ та національних органів нагляду за ринком.

Ціни на послуги уповноваженого представника стабілізувалися в діапазоні від 5 000 до 25 000 євро на рік для невеликих постачальників, залежно від складності системи, кількості країн ЄС, що обслуговуються, та обсягу перевірки документації. Плануйте цей бюджет так само, як ви плануєте витрати на зареєстрованого агента у штаті Делавер.

Крок шостий: Сформуйте пакет документації

Незалежно від того, чи постачаєте ви систему високого ризику, чи модель GPAI, ви зобов'язані вести документацію. Регламент перелічує кілька документів, які повинні існувати та оновлюватися:

  • Технічна документація (Додаток IV для систем високого ризику, Додаток XI для моделей GPAI) — архітектура системи, практики управління даними, методологія навчання, результати оцінювання, відомі обмеження.
  • Документація системи управління ризиками (Стаття 9) — ідентифікація передбачуваних ризиків, заходи з пом’якшення, критерії прийнятності залишкового ризику.
  • Документація з управління даними (Стаття 10) — джерела даних для навчання, валідації та тестування, критерії якості даних, перевірка на наявність упереджень.
  • Записи журналів (логіювання) (Стаття 12) — автоматичні журнали подій з достатньою деталізацією для постринкового моніторингу.
  • Проєктування людського нагляду (Стаття 14) — як оператори-люди можуть інтерпретувати результати, втручатися, змінювати параметри або вимикати систему.
  • План постринкового моніторингу (Стаття 72) — як ви будете збирати, аналізувати та реагувати на дані про продуктивність у реальному світі та інциденти.
  • Декларація відповідності ЄС (Стаття 47) — юридичне підтвердження того, що ваша система відповідає вимогам Регламенту.
  • Маркування CE — наноситься на продукт, вказуючи на відповідність вимогам.

Для постачальників GPAI Кодекс практики, опублікований Офісом з питань ШІ в липні 2025 року, став де-факто базовим рівнем відповідності. Він є добровільним, але приєднання до нього демонструє добросовісне дотримання правил і забезпечує лояльне ставлення під час будь-якої наступної оцінки виконання вимог. Три розділи Кодексу — Прозорість, Авторське право та Безпека і захищеність — тісно переплітаються з тим, на що звертатиме увагу Офіс з питань ШІ, коли почне застосовувати повноваження щодо примусового виконання у серпні 2026 року.

Крок сьомий: підготуйтеся до хвилі опитувальників із закупівель

Для більшості американських SaaS-компаній першим практичним проявом Регламенту ЄС про штучний інтелект (EU AI Act) буде не візит представників Офісу з питань ШІ. Це буде опитувальник із закупівель від юридичного відділу європейського клієнта із запитаннями про те, які моделі ви використовуєте, на яких навчальних даних вони побудовані, які механізми контролю ви впровадили для запобігання забороненим способам використання, як виглядають ваші домовленості щодо резидентності даних і чи є у вас представник згідно зі Статтею 22.

Ці опитувальники надходять уже зараз — задовго до дати початку правозастосування у серпні 2026 року — оскільки покупці в ЄС хочуть залучити комплаєнтних постачальників до настання крайнього терміну. Цикли продажів подовжуються в регульованих галузях (фінанси, охорона здоров'я, державний сектор, освіта), оскільки покупці додають перевірку на відповідність вимогам Регламенту про ШІ. Засновники, які зможуть впевнено відповісти на запитання анкети на першому тижні циклу продажів, укладуть угоди, які втратять їхні менш підготовлені конкуренти.

Сформуйте постійний інформаційний пакет щодо Регламенту про ШІ вже зараз. Він має включати:

  • Односторінковий опис вашої ролі (постачальник/розгортач/обидва), рівня ризику та відповідних зобов’язань
  • Список використовуваних вами базових моделей із інформацією про субпроцесорів та даними у форматі DPA (угоди про обробку даних)
  • Ваші розкриття інформації щодо прозорості (Стаття 50)
  • Документацію щодо управління даними та навчальних даних (за потреби — з вилученням конфіденційної інформації)
  • Вашу процедуру реагування на інциденти та звітування про серйозні інциденти
  • Копію мандата вашого уповноваженого представника, якщо це застосовно

Як узгоджуються GDPR, Закон про дані та DSA

Регламент про ШІ не замінює чинне законодавство ЄС. Він накладається на нього. Система високого ризику, яка обробляє персональні дані, регулюється одночасно Регламентом про ШІ та GDPR, і зобов’язання за ними підсумовуються. Стаття 26(8) Регламенту про ШІ прямо зберігає вимогу GDPR щодо проведення оцінки впливу на захист даних (DPIA) для розгортачів систем високого ризику. Зобов’язання щодо обміну даними та зміни постачальника згідно із Законом про дані (Data Act) діють паралельно з вимогами Регламенту про ШІ. Правила Закону про цифрові послуги (DSA) щодо прозорості рекомендаційних систем застосовуються додатково до Статті 50.

На практиці це означає, що ваша програма відповідності потребує інтегрованого реєстру. Одна функція ШІ може ініціювати DPIA згідно з GDPR, оцінку ризиків згідно з Регламентом про ШІ, розкриття інформації за Статтею 50, звіт про прозорість рекомендаційної системи за DSA та зобов’язання щодо перенесення даних за Законом про дані. Спроба розглядати це як окремі робочі процеси — шлях до помилок. Розгляд їх як єдиної програми зі спільною документацією — спосіб зберегти здоровий глузд.

Як насправді виглядають штрафи

Структура санкцій згідно зі Статтею 99 Регламенту передбачає три рівні:

  • Заборонені практики (порушення Статті 5): до 35 мільйонів євро або 7% світового річного обороту, залежно від того, яка сума вища
  • Більшість інших зобов’язань (Статті 8-15, Стаття 50, зобов’язання щодо ШІ загального призначення за Статтею 101): до 15 мільйонів євро або 3% світового річного обороту, залежно від того, яка сума вища
  • Надання недостовірної інформації органам влади: до 7,5 мільйонів євро або 1% світового річного обороту, залежно від того, яка сума вища

Для малого та середнього бізнесу (МСП), включаючи стартапи, штрафи обмежуються меншою з двох сум, а не більшою. Це суттєва поступка, проте 1% доходу все одно є значущою цифрою для SaaS-компанії на стадії Серії B, а визначення «МСП» за стандартами ЄС обмежується оборотом у 50 мільйонів євро — більшість американських SaaS-компаній на етапі зростання перевищують цю межу.

Перша хвиля правозастосовних дій наприкінці 2026 та у 2027 роках, ймовірно, буде спрямована на найбільших і найпомітніших постачальників — розробників базових моделей та великі споживчі ШІ-продукти. Проте національні органи нагляду за ринком мають широку свободу дій, і розслідування за скаргами можуть бути спрямовані на будь-якого постачальника. Плануйте виходячи з помірного сценарію, а не найгіршого: ймовірно, ви не станете першим оштрафованим, але ви не хочете бути тим засновником, який пояснює правлінню, чому дохід компанії в ЄС зараз заблоковано до виконання плану коригувальних дій.

Впроваджуйте відповідність в інженерію, а не навколо неї

Команди з комплаєнсу, які мають найбільші труднощі з Регламентом про ШІ, — це ті, хто сприймає його як юридичну вправу, додану до готового продукту. Команди, які справляються з цим легко, розглядають його як обмеження при проектуванні системи: управління даними, вбудоване в рівень даних; логування, вбудоване в рівень інференсу; людський нагляд, вбудований в UX; розкриття інформації щодо прозорості, вбудоване в бібліотеку компонентів. Вимоги Регламенту — це здебільшого те, що і так мав би робити якісно спроектований ШІ-продукт: надійна оцінка, чітка документація, структуроване реагування на інциденти, прозорий UX. Регламент просто робить ці речі юридично обов'язковими.

Для американських засновників зміна мислення полягає у визнанні того, що ЄС — це не необов'язковий ринок, який можна відкласти на «потім». Екстериторіальне охоплення Регламенту через «результати роботи в ЄС» означає, що навіть невеликі B2B-контракти можуть підпадати під його дію. А динаміка з опитувальниками із закупівель означає, що готовність є конкурентною перевагою вже зараз, а не просто пунктом у списку відповідності вимогам.

Зберігайте фінансову звітність готовою до аудиту

Якщо ви масштабуєте SaaS-компанію в ЄС, відповідність Регламенту про ШІ — це лише частина ширшого виклику з документацією. Вам також знадобляться чисті фінансові записи, обґрунтоване визнання доходу для підписок у кількох юрисдикціях, документація з трансфертного ціноутворення та звіти VAT-MOSS. Той самий інженерний інстинкт, який спонукає до створення чистої документації з відповідності з контролем версій, має керувати і вашим фінансовим обліком: у текстовому форматі (plain-text), доступним для аудиту та придатним для перевірки людиною або ШІ-аудитором.

Тримайте ваші фінанси такими ж прозорими, як і ваш ШІ

Глибший урок Закону про ШІ — що документація, можливість аудиту та прозорість тепер є стратегічними перевагами — так само стосується і ваших фінансів. Beancount.io забезпечує текстовий бухгалтерський облік, який надає вам повну прозорість і контроль версій ваших фінансових записів за допомогою зрозумілої людині та придатної для машинного зчитування структури, якої вимагає сучасний комплаєнс. Жодних «чорних скриньок», жодної прив'язки до постачальника та журнал, який аудитор (або ваш власний ШІ-агент) може прочитати безпосередньо. Почніть безкоштовно і дізнайтеся, чому розробники та фінансові фахівці, які створюють AI-first компанії, переходять на текстовий бухгалтерський облік.