AI Act: где у бизнеса начинается красная зона

2 февраля 2025 года вступили в силу первые обязательные нормы европейского AI Act - положения о запрещённых практиках использования ИИ. Это не академическое событие. Это начало работающего регулирования, которое задаёт рамки для компаний, работающих в Европе или с европейскими пользователями.

Я не юрист, и это не юридическая консультация. Но я работаю с компаниями, которые внедряют ИИ, и вижу, что многие ещё не задали себе базовые вопросы о том, где у их продуктов и процессов возникают регуляторные риски.

Что попало в список запрещённого

AI Act в части запрещённых практик бьёт по нескольким конкретным областям. Запрещены системы, которые:

• используют техники скрытого воздействия на поведение людей в обход их сознательного выбора;
• эксплуатируют уязвимости конкретных групп - детей, пожилых, людей с ограниченными возможностями - чтобы изменить их поведение;
• создают социальные рейтинги граждан на основе поведения в несвязанных контекстах;
• ведут биометрическую идентификацию в режиме реального времени в публичных местах (с узкими исключениями для правоохранителей).

Ни одна из этих категорий не является абстрактной. Они описывают реальные архитектурные решения в продуктах, которые уже существуют на рынке.

Где бизнес рискует не заметить

Проблема не только в том, что кто-то сознательно строит запрещённые системы. Проблема в том, что некоторые запрещённые паттерны могут возникнуть в продукте незамеренно - как побочный эффект оптимизации под метрику вовлечённости или конверсии.

Несколько сценариев, которые я обсуждаю с клиентами:

Рекомендательные системы. Если алгоритм рекомендаций оптимизирован под вовлечённость и при этом адаптирует поведение пользователя способами, которые пользователь не осознаёт и не одобрил - это граничная зона. Не автоматически запрещено, но требует внимательной оценки.

Персонализация в финансовых и страховых продуктах. ИИ-скоринг, который использует данные о поведении в несвязанных с финансами контекстах, - потенциально проблемная область.

HR-системы с ИИ. Автоматический отбор кандидатов без прозрачной логики и возможности оспорить решение попадает в зону высокого риска по AI Act (это уже не запрещённые практики, а высокорисковые системы - следующий раздел регулирования, который заработает позже).

Что стоит сделать компаниям сейчас

Регулирование работает по принципу постепенного введения: запреты - с февраля 2025 года, требования к высокорисковым системам - позже. Это значит, что время для подготовки есть, но его не так много, как кажется.

Практические шаги, которые имеет смысл сделать в ближайшие месяцы:

Первый - провести инвентаризацию ИИ-систем в продукте и в операционных процессах. Многие компании не имеют актуального списка того, где именно в их продукте работает ИИ или ML.

Второй - для каждой системы ответить на вопрос: какова её цель, на какие данные она опирается, каков механизм влияния на пользователя?

Третий - проверить, есть ли у пользователей возможность получить объяснение решения и оспорить его там, где это требуется регулированием.

Четвёртый - зафиксировать это в документации, которая может быть предъявлена регулятору.

Как думать о регулировании ИИ как о постоянном контексте

AI Act - это не разовое требование, которое можно закрыть одним проектом по compliance. Это рамка, которая будет развиваться. В 2025-2026 годах новые требования будут вступать в силу поэтапно.

Компании, которые воспринимают это как административную обузу, будут постоянно в режиме реакции. Компании, которые встраивают оценку рисков в процесс разработки продукта, получают устойчивое преимущество: меньше сюрпризов и меньше стоимость изменений.

Вопрос для руководителя: есть ли в компании человек или функция, которая отслеживает, как регуляторные изменения влияют на ИИ-продукты? Если нет - это пробел, который стоит закрыть до того, как он станет проблемой.