Закон об искусственном интеллекте ЕС вступает в силу: что должны знать разработчики приложений к августу 2026 года

2 августа 2026 года вступает в полную силу Закон об искусственном интеллекте Европейского союза. Это не мягкая рекомендация и не набор добровольных руководств — это обязательное регулирование с серьезными последствиями. Штрафы достигают 40 миллионов евро или 7% мирового годового оборота, в зависимости от того, что больше. Для сравнения: максимальный штраф по GDPR составляет 4% оборота. ЕС ясно дает понять, что относится к регулированию ИИ намного серьезнее, чем к защите данных.

Если вы разрабатываете, развертываете или распространяете приложения, использующие ИИ — а в 2026 году это большинство компаний-разработчиков ПО — это регулирование касается вас. Не только если вы базируетесь в ЕС. Как и GDPR, Закон об ИИ применяется к любой организации, системы ИИ которой влияют на людей в ЕС, независимо от того, где находится штаб-квартира компании. SaaS-компания в Сан-Франциско, обслуживающая европейских клиентов, столь же обязана соответствовать требованиям, как и компания в Берлине.

В iHux мы потратили прошлый год на подготовку наших продуктов и продуктов наших клиентов к соответствию требованиям. Вот что мы узнали о том, что действительно важно для разработчиков приложений — без юридического жаргона и с фокусом на практические действия.

Система классификации рисков: к какой категории относится ваше приложение?

Нормативная база Закона об ИИ построена на системе классификации на основе рисков. Ваши обязательства по соответствию требованиям полностью зависят от того, в какой категории риска находится ваша система ИИ. Правильное определение этой классификации — самый важный шаг в вашем пути к соответствию требованиям.

Неприемлемый риск (запрещено)

Эти приложения ИИ запрещены категорически, вступив в силу в феврале 2025 года (уже в силе). Они включают системы социального скоринга, которые оценивают людей на основе поведения или личностных черт, биометрическую идентификацию в реальном времени в общественных местах (с узкими исключениями для правоохранительных органов), ИИ, который использует уязвимости определенных групп населения (возраст, инвалидность, экономическое положение), и распознавание эмоций на рабочих местах и в образовательных учреждениях (с ограниченными исключениями).

Если ваше приложение делает что-либо из этого, остановитесь. Не существует пути соответствия требованиям — такое использование просто незаконно в ЕС.

Высокий риск (строгое регулирование)

Системы ИИ высокого риска подлежат наиболее строгим требованиям. К ним относятся системы ИИ, используемые в критически важной инфраструктуре (энергетика, транспорт, водоснабжение), образовании и профессиональной подготовке (приём, оценка), занятости (рекрутинг, найм, оценка производительности), основных услугах (кредитный рейтинг, страхование, аварийные службы), правоохранительной деятельности, иммиграции и демократических процессах.

Для высокорисковых систем требования существенны: системы управления рисками, управление данными и документирование, техническая документация и ведение записей, прозрачность и информирование пользователей, механизмы контроля человеком, стандарты точности, надёжности и кибербезопасности, а также обязательная оценка соответствия перед развёртыванием.

Ограниченный риск (обязательства по прозрачности)

Здесь находится большинство потребительских и корпоративных приложений. Если ваше приложение использует чат-боты на основе ИИ, генерацию контента, распознавание эмоций (где разрешено) или генерацию deepfake/синтетических медиа, вы попадаете в эту категорию. Основное обязательство — прозрачность: пользователи должны быть информированы о взаимодействии с ИИ, контент, созданный ИИ, должен быть помечен как таковой, а синтетические медиа (deepfake) должны быть чётко обозначены.

Минимальный риск (дополнительных требований нет)

Видеоигры с поддержкой ИИ, фильтры спама, базовые системы рекомендаций и аналогичные приложения с минимальным воздействием на фундаментальные права не подлежат дополнительным нормативным требованиям, выходящим за рамки действующего законодательства. Вам рекомендуется (но не требуется) следовать добровольным кодексам поведения.

Модели ИИ общего назначения: правила для пользователей базовых моделей

Если ваше приложение использует общие модели искусственного интеллекта (GPT-4, Claude, Gemini, Llama, Mistral и т. д.), на поставщиков моделей распространяется отдельный набор обязательств — но как разработчик приложения вы также несете определенную ответственность.

Поставщики моделей должны предоставлять техническую документацию о возможностях и ограничениях, соблюдать законодательство ЕС об авторском праве (особенно в отношении данных обучения) и публиковать достаточно подробные сводки данных обучения. Для моделей, классифицируемых как представляющих системный риск (определяется пороговыми значениями вычислительных ресурсов и оценками воздействия), дополнительные обязательства включают состязательное тестирование, отчетность об инцидентах и меры кибербезопасности.

Как разработчик приложения, использующий эти модели, вы несете ответственность за: использование модели в соответствии с ее задокументированными целевыми назначениями, реализацию надлежащих гарантий для вашего конкретного случая использования, обеспечение прозрачности для конечных пользователей в отношении использования искусственного интеллекта и ведение записей об оценке рисков и мерах их снижения.

Практический контрольный список соответствия требованиям для разработчиков приложений

Вот что вам нужно сделать до 2 августа 2026 года. Мы организовали это по приоритетам — начните с верхней части и двигайтесь вниз.

Приоритет 1: Классификация и оценка (сделайте это сейчас)

1. Проведите аудит каждого компонента искусственного интеллекта в вашем приложении. Составьте список каждого места, где искусственный интеллект принимает или влияет на решения. Включите сторонние сервисы искусственного интеллекта, встроенные модели и функции на основе искусственного интеллекта.
2. Классифицируйте каждый компонент по уровню риска. Используйте опубликованное руководство ЕС и Приложение III регламента для определения того, где падает каждый вариант использования искусственного интеллекта. Если сомневаетесь, классифицируйте выше — неправильная классификация является более опасной, чем чрезмерная классификация.
3. Задокументируйте вашу оценку. Запишите, почему вы классифицировали каждый компонент именно так. Эта документация — ваша первая линия защиты при любом нормативном расследовании.

Приоритет 2: Внедрение прозрачности (к май 2026)

1. Добавьте раскрытие информации об ИИ ко всем взаимодействиям пользователей с ИИ. Пользователи должны знать, когда они взаимодействуют с ИИ. Это означает четкие метки в диалогах чат-ботов, ИИ-генерируемом контенте и рекомендациях на базе ИИ.
2. Пометьте весь контент, созданный ИИ. Если ваше приложение генерирует текст, изображения, аудио или видео с помощью ИИ, они должны быть идентифицируемы как созданные ИИ. Это включает метаданные, а не только визуальные метки.
3. Обновите вашу политику конфиденциальности и условия обслуживания. Раскройте, какие системы ИИ вы используете, какие данные они обрабатывают и как принимаются решения. Будьте конкретны — "мы используем ИИ для улучшения вашего опыта" недостаточно.

Приоритет 3: Технические меры безопасности (к июль 2026)

1. Внедрите механизмы человеческого надзора. Для высокорисковых систем люди должны иметь возможность понимать, контролировать и отменять решения ИИ. Разработайте четкие пути эскалации и возможности ручного переопределения.
2. Создайте логирование и журналы аудита. Высокорисковые системы ИИ должны вести логи своей работы. Разработайте инфраструктуру логирования для захвата входных данных ИИ, выходных данных и факторов решений таким образом, чтобы они были доступны для запросов и сохранения.
3. Проверьте на предвзятость и справедливость. Закон об искусственном интеллекте требует, чтобы системы высокого риска были протестированы на предмет дискриминационного воздействия. Внедрите тестирование на предвзятость как часть вашего конвейера CI/CD, а не как одноразовый аудит.
4. Установите процесс отчётности об инцидентах. Серьёзные инциденты, связанные с системами искусственного интеллекта высокого риска, должны быть доложены органам власти. Определите, что считается серьёзным инцидентом для вашего приложения, и создайте инфраструктуру отчётности сейчас.

Структура штрафов: что на самом деле поставлено на карту

Штрафы распределены в зависимости от серьёзности нарушения.

• Развертывание запрещённой системы искусственного интеллекта: до 35 миллионов евро или 7% глобального годового оборота.
• Несоответствие требованиям высокого риска: до 15 миллионов евро или 3% глобального годового оборота.
• Предоставление неправильной информации органам власти: до 7,5 миллионов евро или 1% глобального годового оборота.

Для МСП и стартапов действуют сниженные пределы штрафов — но они всё ещё достаточно значительны, чтобы угрожать жизнеспособности бизнеса. Нормативный акт включает принципы соразмерности, но "мы не знали" не является защитой.

За пределами соответствия: стратегическая возможность

Вот перспектива, которая отделяет реактивное соответствие от стратегического преимущества: требования AI Act — прозрачность, контроль человека, тестирование предвзятости, документация — также являются признаками хорошо разработанных продуктов на основе ИИ. Пользователи доверяют приложениям, которые прозрачны в использовании ИИ. Корпоративные покупатели требуют журналов аудита и контроля человека. Тестирование предвзятости выявляет проблемы качества продукта до того, как они станут PR-кризисом.

Компании, которые рассматривают AI Act как фреймворк качества продукта, а не как нормативное бремя, будут создавать лучшие продукты и завоевывать большое доверие — особенно на корпоративных рынках, где соответствие является критерием покупки. «Соответствует EU AI Act» становится конкурентным преимуществом, а не просто юридической галочкой.

Хронология: что уже действует и что предстоит

• 2 февраля 2025 г. (уже в силе): запрещены практики искусственного интеллекта. Применяются обязательства по повышению грамотности в области ИИ.
• 2 августа 2025 г. (уже в силе): правила для моделей искусственного интеллекта общего назначения применяются. Структуры управления должны быть установлены.
• 2 августа 2026 г. (в 5 месяцах): полное применение. Применяются все обязательства систем ИИ высокого риска. Штрафы подлежат взысканию.
• 2 августа 2027 г.: продленный срок для некоторых систем ИИ высокого риска, которые являются компонентами регулируемых продуктов (медицинские устройства, автомобили, авиация).

Начните прямо сейчас — пять месяцев — это меньше времени, чем вам кажется

Пять месяцев звучат как достаточно времени. Это не так. Внедрение требований прозрачности в существующее приложение, создание инфраструктуры логирования аудита, проведение оценок предвзятости, обновление юридических документов и обучение вашей команды процедурам соответствия — это недели работы каждое. И если вы обнаружите, что одна из ваших функций AI попадает в категорию высокого риска, сам процесс оценки соответствия может занять месяцы.

Практический совет прост: начните классификацию рисков на этой неделе, приоритизируйте требования прозрачности (они применяются почти ко всем), и если вы подозреваете какие-либо классификации высокого риска, немедленно обратитесь к юристам. Закон об AI ЕС никуда не денется, и механизмы его применения хорошо финансируются и работают.

В iHux мы интегрировали соответствие закону об AI в наш процесс разработки для каждого продукта, который мы создаем. Это добавляет скромные накладные расходы вначале, но экономит огромные затраты и риски по сравнению с адаптацией соответствия после запуска. Если вы разрабатываете приложения на основе AI и еще не начали свой путь соответствия, сегодня — тот день.