Уявіть типовий пітч-дек українського AI-стартапу на стадії Seed або Series A. Інвестор із Берліна чи Амстердама переглядає слайди, ставить питання про retention, CAC та unit-економіку. А потім додає ще одне: «Який рівень ризику вашої AI-системи за EU AI Act? Яка у вас документація щодо тренувальних даних?»
Читайте также: Як зробити з AirPods кнопку для фото — гайд
Ще рік тому такі питання звучали рідко. Але із наближенням нових вимог ЄС вони поступово стають частиною стандартного due diligence для AI-компаній.
У червні 2026 року Європарламент підтримав пакет AI Omnibus, який відклав частину вимог для high-risk AI-систем до грудня 2027 року та серпня 2028 року. Водночас положення AI Act уже починають впливати на те, як інвестори оцінюють компанії, що працюють зі штучним інтелектом.
У колонці для Vector Іванна Хоніна, Head of Legal у Preply, пояснює, що саме змінилося, які вимоги відтермінували та над чим українським засновникам варто почати працювати вже зараз.
EU AI Act — перший у світі обов’язковий закон про штучний інтелект із реальними санкціями за порушення. Він набрав чинності в серпні 2024 року, але запроваджується поетапно.
У червні 2026 року Європарламент підтримав пакет AI Omnibus, який переносить частину дедлайнів AI Act і спрощує виконання окремих вимог для бізнесу. На момент публікації документ ще очікує остаточного погодження Радою ЄС.
Як виглядає графік впровадження регулювання:
- Лютий 2025 року — набуває чинності заборона найризикованіших практик. Поза законом опиняються соціальний скоринг громадян, маніпулятивні AI-системи та окремі види біометричного розпізнавання в реальному часі.
- Серпень 2025 року — починають діяти вимоги для моделей загального призначення (GPAI). Компанії, які розробляють або використовують великі мовні моделі на кшталт ChatGPT, мають дотримуватися правил прозорості та документування.
- Серпень 2026 року — набувають чинності вимоги щодо прозорості для AI-систем, які взаємодіють із користувачами. Люди мають бути поінформовані, що спілкуються з AI, а не з людиною.
- Грудень 2026 року — починають діяти правила маркування AI-generated контенту та додаткові обмеження для сервісів зі створення несанкціонованих інтимних зображень (nudifier apps).
- Грудень 2027 року — стартує повне застосування вимог до stand-alone high-risk AI-систем (Annex III). Для AI-компонентів у регульованих продуктах, зокрема медичних пристроях, дедлайн перенесено до серпня 2028 року.
Найважливіша зміна AI Omnibus — перенесення дедлайну для high-risk систем із серпня 2026-го на грудень 2027-го. Причина не лише в політичних дискусіях, а й у тому, що інфраструктура для виконання закону виявилася неготовою.
По-перше, країни ЄС не встигли акредитувати достатню кількість Notified Bodies — органів, які мають проводити оцінку відповідності та сертифікацію систем.
Читайте также: Allbirds продала взуттєвий бізнес за $43 млн і стала Smartbird
По-друге, гармонізовані технічні стандарти, які розробляють CEN і CENELEC та на які бізнес має спиратися під час підтвердження відповідності, досі не завершені.
По-третє, AI Office — новий орган ЄС, відповідальний за нагляд і правозастосування у сфері штучного інтелекту, — все ще формує власну операційну спроможність.
Фактично регуляторна рамка вже існувала, але інституції та інструменти, необхідні для її повноцінного запуску, ще не були готові.
Штрафи за AI Act мають ступінчасту структуру:
- Найвищий рівень, до 35 млн євро або 7% глобального річного обороту, застосовується за найсерйозніші порушення: використання заборонених систем (стаття 5) або виведення high-risk системи на ринок ЄС без CE-маркування чи оцінки відповідності.
- Середній рівень, до 15 млн євро або 3% обороту, охоплює більшість інших порушень: недотримання вимог deployers, порушення зобов’язань щодо прозорості, невиконання вимог до моделей загального призначення.
- Нижній рівень, до 7,5 млн євро або 1,5% обороту, передбачений за надання неточної або вводячої в оману інформації наглядовим органам. Для стартапів навіть нижній рівень може бути критичним. Принцип пропорційності застосовується, але регулятор має дискрецію.
Підхід ЄС — ризик-орієнтований: чим більший потенційний вплив вашої AI-системи на людей, тим жорсткіші вимоги. Чат-бот для підбору меблів і система для оцінки кандидатів на роботу живуть у абсолютно різних регуляторних реальностях — навіть якщо обидва використовують одну й ту саму базову модель.
Чому це стосується вас, навіть якщо ви в Україні
Поширена помилка: «ми не в ЄС, тому нас це не стосується». Це не так.
EU AI Act має екстериторіальну дію — так само, як GDPR. Якщо ваш AI-продукт використовується в ЄС, якщо ваш SaaS-клієнт зареєстрований у Берліні чи Варшаві, або якщо система впливає на рішення щодо громадян ЄС — ви вже під регулюванням. Фізична адреса компанії не має значення.
Мій досвід роботи з IT-компаніями показує чотири основні сценарії, коли AI Act стає прямим ризиком для українського бізнесу:
Сценарій 1. Ви продаєте B2B AI-рішення клієнтам у ЄС
Ваш клієнт — умовна HR-платформа в Нідерландах — зобов’язаний перевіряти compliance своїх постачальників AI. У результаті він або приходить до вас із детальним переліком вимог, або просто відмовляється від контракту.
Читайте также: Фільм про Сема Альтмана і драму в OpenAI залишився без дистрибʼютора Amazon
