EU AI Act: штрафы до €35 млн вступают в силу — кто не готов

В августе 2026 года вступают в силу ключевые положения EU AI Act — самого амбициозного в мире закона о регулировании искусственного интеллекта. Речь идёт о полном пакете требований для высокорисковых AI-систем, включая обязательную оценку соответствия, ведение технической документации и регистрацию в единой европейской базе данных. За нарушения предусмотрены штрафы до €35 млн или 7% глобального оборота — в зависимости от того, какая сумма больше. Для крупных технологических корпораций это потенциально миллиарды евро.

Проблема в том, что индустрия катастрофически не готова. Согласно опросу Euractiv, проведённому в феврале 2026 года, только 23% компаний, использующих AI-системы высокого риска, завершили процедуру оценки соответствия. Ещё 41% находятся в процессе, а 36% даже не начинали. Особенно тяжело приходится малому и среднему бизнесу: стоимость полного комплаенса оценивается в €200–400 тысяч для средней компании, что для многих стартапов сопоставимо с годовым бюджетом. Крупные игроки вроде SAP и Siemens выделили специальные команды, но даже они признают, что сроки крайне сжатые.

Наибольшее напряжение вызывает классификация AI-систем по уровням риска. Закон выделяет четыре категории: минимальный риск, ограниченный, высокий и неприемлемый. Казалось бы, логика понятна, но на практике граница между категориями размыта. Например, AI-система для подбора персонала однозначно относится к высокому риску. А что делать с чат-ботом для HR-отдела, который помогает формулировать вакансии? Формально это не принятие решений, но фактически он влияет на процесс найма. Европейский совет по AI обещал выпустить разъяснения к апрелю, но на момент написания статьи их ещё нет.

Отдельная история — требования к генеративному AI и моделям общего назначения (GPAI). Поставщики таких моделей обязаны публиковать описания обучающих данных, проводить оценку системных рисков и обеспечивать прозрачность. Для моделей с «системным риском» — тех, на обучение которых потрачено более 10²⁵ FLOP — требования ещё жёстче: обязательное red-teaming, мониторинг инцидентов и регулярная отчётность. Под эту категорию попадают GPT-5, Claude 4, Gemini Ultra и ряд других frontier-моделей. Их разработчики — преимущественно американские компании — оказываются в парадоксальном положении: законы пишет Европа, а исполнять должны Кремниевая долина и Сиэтл.

Практический эффект EU AI Act выходит далеко за пределы Европы. По аналогии с GDPR, который де-факто установил глобальный стандарт защиты данных, европейский закон об AI уже влияет на регуляторные подходы в Бразилии, Канаде, Японии и даже отдельных штатах США. Компании, работающие на глобальном рынке, предпочитают адаптировать свои продукты под самый строгий стандарт, а не создавать отдельные версии для каждой юрисдикции. В этом смысле Европа достигла своей цели: не имея собственных AI-гигантов, она установила правила, по которым играют все.