IT и технологии

AI Act на практике — compliance checklist для SaaS-компаний 2026

Регламент (ЕС) 2024/1689 — известный как EU AI Act (Закон ЕС об искусственном интеллекте) — вступил в силу 1 августа […]

Регламент (ЕС) 2024/1689 — известный как EU AI Act (Закон ЕС об искусственном интеллекте) — вступил в силу 1 августа 2024 года и вводит дифференцированное регулирование AI-систем в зависимости от уровня риска. Для SaaS-компаний, которые интегрируют или разрабатывают AI-функциональность, вопрос состоит не в том, возникнут ли обязательства, а в том, какие именно и когда. Настоящий текст носит информационный характер и не заменяет индивидуальную юридическую консультацию.

Классификация рисков: четыре уровня

AI Act делит AI-системы на четыре категории:

Неприемлемый риск — запрещённые системы (запреты применяются с 2 февраля 2025 года): – Когнитивное манипулирование пользователями в обход свободной воли – Массовая биометрическая слежка в общественных местах (с узкими исключениями для органов безопасности) – Социальный рейтинг со стороны публичных органов власти – AI, эксплуатирующий уязвимости (возраст, инвалидность)

Высокий риск — строгие требования (применяется с августа 2026 года для новых систем): – Системы в сфере трудоустройства (отбор резюме, оценка эффективности работы) – Критическая инфраструктура (энергетика, водоснабжение) – Образование и профессиональная подготовка – Доступ к государственным услугам и льготам – Миграция, убежище и пограничный контроль – Правоприменение

Ограниченный риск — обязательства по прозрачности: – Чат-боты обязаны информировать пользователей о том, что они общаются с AI – Дипфейк-контент должен быть помечен – AI-генерируемый текст, распространяемый в широком масштабе

Минимальный риск — без специальных обязательств по AI Act (спам-фильтры, рекомендательные системы, не относящиеся к высокому риску).

Что AI Act требует от провайдеров высокого риска

Если Ваша SaaS-система относится к категории «высокого риска», обязательства носят существенный характер:

1. Система управления рисками (Статья 9) — Непрерывный процесс выявления, оценки и снижения рисков на протяжении всего жизненного цикла системы.

2. Управление данными (Статья 10) — Обучающие и тестовые наборы данных должны быть релевантными, репрезентативными и свободными от ошибок, которые могут приводить к дискриминации.

3. Техническая документация (Статья 11 + Приложение IV) — Детальное описание системы: назначение, архитектура, потоки данных, метрики производительности, ограничения.

4. Автоматическое журналирование (Статья 12) — Системы высокого риска обязаны автоматически фиксировать действия в объёме, достаточном для последующей реконструкции принятых решений (мониторинг после выхода на рынок).

5. Прозрачность в отношении пользователей (Статья 13) — Чёткие инструкции по использованию, ограничениям и контролю со стороны человека.

6. Контроль со стороны человека (Статья 14) — Меры, позволяющие операторам перехватить управление, приостановить или отключить систему.

7. Точность, надёжность, кибербезопасность (Статья 15)

8. Оценка соответствия (Статья 43) — Самооценка (для большинства систем высокого риска) или независимая оценка (для определённых категорий). Нанесение маркировки CE. Регистрация в базе данных ЕС.

GPAI-модели — особый режим

Регламент устанавливает особые правила для моделей общего назначения (GPAI — General Purpose AI), таких как большие языковые модели. Провайдеры GPAI-моделей обязаны:

  • Публиковать техническую документацию
  • Публиковать сводную информацию о данных, использованных для обучения
  • Внедрять политику соблюдения авторских прав
  • Системы высокого риска, построенные на базе GPAI, наследуют обязательства высокого риска.

Compliance checklist для SaaS-компаний (2025–2026)

Немедленно (запреты действуют с 2 февраля 2025 года): – [ ] Проверьте, что ни одна AI-функциональность не относится к категории запрещённых систем – [ ] Задокументируйте анализ для внутреннего пользования

До августа 2026 года (высокий риск — новые системы): – [ ] Классифицируйте каждую AI-систему, которую вы разрабатываете или используете – [ ] Для высокого риска: запустите систему управления рисками – [ ] Подготовьте техническую документацию в соответствии с Приложением IV – [ ] Внедрите автоматическое журналирование действий – [ ] Обеспечьте механизм участия человека в процессе принятия решений (human-in-the-loop) – [ ] Проведите оценку соответствия и зарегистрируйтесь в базе данных ЕС

Прозрачность (немедленно для чат-ботов и дипфейков): – [ ] Обеспечьте уведомление пользователей о взаимодействии с AI – [ ] Маркируйте AI-генерируемый контент там, где это применимо

Сербия и EU AI Act

AI Act распространяется на провайдеров AI-систем, которые выводят системы на рынок ЕС или используют их в ЕС — вне зависимости от места регистрации компании. Сербская SaaS-компания, реализующая услуги клиентам из ЕС, подпадает под действие AI Act. Сербия как страна-кандидат не обязана применять его напрямую, однако гармонизация законодательства вероятна в обозримой перспективе.

Часто задаваемые вопросы (Q&A)

Распространяется ли AI Act на сербскую компанию, продающую SaaS в ЕС? Да. AI Act обладает экстерриториальным действием — он распространяется на провайдеров независимо от места их регистрации, если они выводят AI-системы на рынок ЕС или если их системы используются в ЕС.

Какие SaaS-системы относятся к «высокому риску»? К высокому риску относятся системы для отбора сотрудников (CV-скрининг), оценки кредитного риска, системы в сфере образования и государственных услуг. Рекомендательные системы в сфере электронной коммерции, как правило, не относятся к высокому риску.

Что такое оценка соответствия и необходимо ли привлекать третью сторону? Для большинства систем высокого риска достаточно самооценки с надлежащей документацией. Привлечение независимой третьей стороны обязательно для биометрических систем и систем в сфере критической инфраструктуры.

Каковы санкции за нарушение AI Act? До 35 миллионов евро или 7% годового мирового оборота за запрещённые системы; до 15 миллионов евро или 3% — за иные нарушения в категории высокого риска; до 7,5 миллиона евро или 1% — за предоставление недостоверных сведений регулятору.

Заключение

EU AI Act вступил в действие. Вопрос не в том, окажется ли Ваш SaaS под контролем — вопрос в том, когда. Классификация систем, документирование и подготовка к оценке соответствия — это поэтапные процессы, которые реализуемы при своевременном начале. Если дожидаться, пока регулятор сам выйдет на связь, пространство для манёвра резко сужается.

Источники: – Регламент (ЕС) 2024/1689 (EU AI Act), OJ L, 12.7.2024 – EU AI Office: https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence – AI Office — руководства и заключения

Содержание сайта носит информационный характер и не является юридической консультацией. За конкретными юридическими советами обращайтесь непосредственно к адвокату. Бюро работает в соответствии с Законом об адвокатуре и Кодексом профессиональной этики адвокатов.

Scroll to Top