EU AI Act — первый в мире закон, который регулирует AI как таковой, а не отдельные сферы его применения. С 2026 года начинают применяться требования к general-purpose AI, с 2027 — к high-risk системам.
Классификация рисков
AI Act делит AI-системы на 4 категории риска. От категории зависит объём обязательств.
| Категория | Примеры | Требования |
|---|---|---|
| Unacceptable | Социальный скоринг, биометрическая идентификация в реальном времени | Запрещено |
| High-risk | HR-скрининг, кредитный скоринг, критическая инфраструктура | Полный conformity assessment |
| Limited | Чат-боты, генерация контента | Раскрытие информации, transparency |
| Minimal | Спам-фильтры, рекомендательные системы | Добровольные кодексы |
⚠️
Если вы делаете SaaS для HR (скрининг резюме), финтех-скоринг или anything в критической инфраструктуре — у вас high-risk. Это самая затратная категория.
Self-assessment за 1 день: методология
Шаг 1. Опишите систему
- →Назначение системы и задача
- →Тип входных данных (ПД? биометрия? финансы?)
- →Выходные данные (решение, рекомендация, оценка)
- →Кто конечный пользователь
- →Какое влияние на пользователя/общество
Шаг 2. Классифицируйте
Используйте decision tree из Приложения I AI Act. Если входные данные включают чувствительные категории или решение влияет на права — это почти наверняка high-risk.
Шаг 3. Документация
- →Описание системы (model card)
- →Данные для обучения (источник, состав, лицензия)
- →Метрики качества и bias-тестов
- →Человеческий контроль (human-in-the-loop)
- →Logging и мониторинг
- →План реагирования на ошибки
Где SMB спотыкаются
- 1Думают, что «наш AI не в ЕС» — но если есть EU-пользователи, вы подчиняетесь
- 2Используют foundation models без прозрачности происхождения
- 3Не имеют логов инференса — требуется для постмаркетинга
- 4Забывают про high-risk downstream usage — если ваш AI используется как компонент в чужой high-risk системе
