EU AI Act: что реально «включилось» летом 2025 — и почему это задевает бизнес из РФ
Лето 2025 — водораздел для ИИ в Европе: AI Act перестал быть «будущим законом» и стал чек-листом на вход в сделки, тендеры и интеграции. Запросы на подтверждение соответствия теперь прилетают по умолчанию. Разберём, что именно заработало в августе–сентябре и почему это касается компаний за пределами ЕС, включая Россию.
Коротко
С 2 августа 2025 запустилась вторая волна AI Act: обязательства для провайдеров моделей общего назначения (GPAI) и готовая инфраструктура надзора в странах ЕС. Запреты на «неприемлемые практики» заработали ещё с февраля 2025. Большинство жёстких требований для высокорисковых систем — с августа 2026; часть — с 2027.
Что именно вступило в силу летом 2025
• Правила для GPAI (foundation-моделей): провайдеры, выводящие модель на рынок ЕС, обязаны соблюдать прозрачность и авторское право, публиковать «резюме» обучающих данных, передавать интеграторам информацию об ограничениях модели. Для «системно-рисковых» моделей — усиленные меры безопасности и оценка рисков. Для моделей, выпущенных до 02.08.2025, дан переходный срок привести всё в порядок до 02.08.2027.
• Государственный надзор: каждое государство-член к 02.08.2025 назначает компетентные органы и выстраивает систему контроля (AI Office/нацорганы). На практике это означает, что «точки входа» регулятора и каналы запросов/проверок уже работают.
• Контекст для понимания сроков (что действует уже сейчас и что будет дальше):
- С 02.02.2025: запреты на «неприемлемые практики» (манипуляции, социальный скоринг публичной властью, определённые виды биометрии и др.). Нарушение — до €35 млн или 7% глобального оборота.
- С 02.08.2026: основная масса требований для высокорисковых систем (подбор персонала, образование/оценка, кредитный скоринг, медицина, критическая инфраструктура и др.). Потребуются риск-менеджмент, качество данных, документация, логирование, «человеческий контроль», регистрация в реестре и оценка соответствия.
- С 02.08.2027: доп. горизонт для ИИ, встроенного в уже регулируемые товары (медизделия, авто и пр.), а также крайний срок для старых GPAI-моделей, чтобы дотянуть прозрачность/безопасность до стандарта AI Act.
Почему это касается компаний из РФ (и вообще не-ЕС)
AI Act экстерриториален. Он применяется:
- к провайдерам, выводящим систему/модель на рынок ЕС (не важно, где вы зарегистрированы);
- к деплойерам (пользователям) в ЕС;
- к провайдерам/деплойерам вне ЕС, если выход вашей AI-системы используется в ЕС. Проще: ваш сервис хостится где угодно, но результаты видит или от них зависит пользователь в ЕС — вы в зоне действия AI Act
Отсюда практика:
• B2B-SaaS из РФ, продающий HR-скрининг/рейтинг кандидатов в Польшу, — попадает под high-risk блок с 2026 года (готовиться нужно уже сейчас, иначе клиент не сможет легально эксплуатировать систему).
• EdTech/MarTech/FinTech-сервисы с чат-ботами и генерацией контента для пользователей в ЕС — обязаны соблюдать требования прозрачности (пометки «это ИИ»/deepfake-маркировка) уже сегодня.
• Провайдеры GPAI/LLM, отдающие API в Европу, — с 02.08.2025 должны иметь публичное «обучающее резюме» и политику по авторскому праву, а для «системно-рисковых» моделей — выполнять усиленные меры.
Риски по умолчанию
• Штрафы: до €35 млн или 7% мирового оборота (в т.ч. для компаний вне ЕС). Плюс возможный запрет на ввод в обращение/эксплуатацию в ЕС.
• «Стоп-фактор»: без подтверждения соответствия европейские заказчики могут поставить сделки на паузу — от тендеров до интеграций. Это уже не «совет по доброй воле», а новое условие рынка.
Итого для августа–сентября 2025
1. Включились обязательства для GPAI и заработала «машина надзора» в странах ЕС.
- Запреты на опасные практики действуют уже с февраля 2025 — их нельзя тестировать «в серой зоне»
- В 2026 придёт основной массив high-risk требований — и к нему стоит готовиться заранее
Есть вопросы? Напишите нам.
#гликштейн, #ветров, #бизнес, #айти, #цифровое_право, #наши_услуги
Подписывайтесь на Telegram Юрфирма «Ветров и партнеры».