EU AI Act заработал: что реально меняется для пользователей и бизнеса

EU AI Act — один из тех законов, про которые в ИИ-сообществе принято либо паниковать («убьёт инновации!»), либо игнорировать («бюрократия, которая ничего не изменит»). Ни то ни другое не отражает реальность. Разбираем спокойно: что уже работает, что вступит в силу в ближайшие месяцы, и что это значит для конечного пользователя.

Хронология: что уже случилось

Закон принят в июне 2024 года. С февраля 2025-го вступили в силу запреты на «неприемлемые риски» — системы социального рейтинга в публичных пространствах, манипулятивные ИИ-системы, биометрическое наблюдение в реальном времени в публичных местах (с узкими исключениями для силовых структур).

С августа 2025-го компании, разрабатывающие «модели общего назначения» (то есть большие языковые модели вроде GPT-4o, Claude, Gemini), обязаны выполнять требования по прозрачности: публиковать документацию об обучающих данных, соблюдать авторские права, маркировать AI-генерированный контент.

В апреле 2026-го регуляторы начали рассылать первые предписания компаниям, чьи системы попадают под «высокий риск».

Что такое «высокий риск» и кого это касается

Высокорисковые системы — это ИИ в критической инфраструктуре, образовании, занятости, кредитовании, медицинской диагностике, правоохранительных органах и управлении миграцией. Для таких систем требования строгие: реестр рисков, логи решений, человек в петле обратной связи (human-in-the-loop), право на объяснение.

Для обычного пользователя это означает: если ИИ-система принимает решение, которое существенно влияет на вашу жизнь (дать кредит или нет, принять ли на работу, выписать ли рецепт) — у вас есть право знать, что решение принял ИИ, и право оспорить его через человека.

На практике это уже влияет на HR-системы (HireVue, Eightfold AI): они обязаны объяснять критерии отбора кандидатов и предоставлять возможность обжалования.

Что меняется для ИИ-инструментов, которые мы используем

Большинство инструментов, которые мы обсуждаем на AIRatings.ru — ChatGPT, Claude, Midjourney, Suno — попадают под категорию «модели общего назначения». Основные требования для них:

Во-первых, маркировка синтетического контента. Это уже частично реализовано — многие генераторы изображений добавляют водяные знаки или C2PA-метаданные. Требование закона сделает это обязательным для продажи в ЕС.

Во-вторых, соблюдение авторских прав при обучении. Это болезненная тема — большинство существующих моделей обучено на данных из открытого интернета без явного согласия авторов. Компании либо договариваются с правообладателями (OpenAI и News Corp, Anthropic и несколько издательств), либо переходят на синтетические данные для дообучения.

В-третьих, документация и прозрачность. Компании, разворачивающие GPT-4o или Claude как часть своих продуктов в ЕС, обязаны документировать это использование.

Что это значит для пользователей за пределами ЕС

Компании редко делают отдельные версии продукта для разных регионов — это дорого и сложно. Практика «Brussels Effect» (закон ЕС де-факто становится глобальным стандартом) уже работает в GDPR: большинство крупных сайтов имеют функции конфиденциальности, написанные под GDPR, для всех пользователей.

Скорее всего, маркировка AI-контента и улучшенная документация появятся глобально — просто потому что делать это только для ЕС нецелесообразно. Для российских пользователей требования EU AI Act напрямую не применяются, но косвенно их почувствуем через изменения в продуктах глобальных компаний.

Критика: что действительно спорно в законе

Мы считаем важным отметить реальные проблемы, которые видят критики закона — не потому что они правы, а потому что аргументы заслуживают внимания.

Категории риска написаны под существующие системы 2022-2023 годов. Агентские ИИ, мультимодальные системы, автономные агенты — это всё «серые зоны», которые регуляторы будут интерпретировать по ходу. Это создаёт неопределённость для разработчиков.

Требование human-in-the-loop в высокорисковых системах разумно по духу, но сложно исполнимо при масштабах автоматизации. Банк, обрабатывающий миллион заявок на кредит в день, не может технически иметь человека, проверяющего каждое решение.

Наконец, применяемость к non-EU компаниям остаётся открытым вопросом. OpenAI, Anthropic и Meta — американские компании. Механизм принуждения к исполнению пока неясен.