Малі та середні підприємства (МСП), які розробляють або використовують системи штучного інтелекту (ШІ), зобов’язані дотримуватися Акту про ШІ Європейського Союзу, навіть якщо вони не мають офісу чи представництва в ЄС.
Експерти зазначають, що через обсяг цього акта багато американських МСП можуть опинитися під його впливом і повинні вже зараз вжити заходів для оцінки своїх ризиків. Це стосується, зокрема, використання ШІ для створення контенту, який доступний громадянам ЄС.
Важливим терміном є 2 серпня, коли починається виконання загальних правил управління ШІ. Перший термін, 2 лютого, стосувався систем ШІ з “високим ризиком”, а остаточний термін, 2 серпня 2026 року, стане моментом, коли інші правила почнуть діяти.
Акт про ШІ, ухвалений у 2024 році, є першим у світі комплексним регулюванням у сфері ШІ. Він запроваджує ризик-орієнтовану структуру для систем ШІ, які виходять на ринок ЄС або чий вміст використовується в ЄС. Недотримання вимог може призвести до штрафів до 35 мільйонів євро (40 мільйонів доларів) або 7% річного доходу, залежно від того, яка сума вища.
«Акт про ШІ ЄС вимагатиме дотримання від американських компаній, якщо вони ведуть бізнес в ЄС — інакше їм загрожують величезні штрафи», — зазначив Роберт Гаррісон, патентний юрист, що працює в Європі. «МСП не можуть просто ігнорувати регулювання, оскільки федеральний уряд США має інші погляди на регулювання ШІ».
На відміну від законів, які звільняють малі підприємства, Акт про ШІ ґрунтується на характері технології, а не на розмірах компанії. «Це ризикова структура, що стосується будь-якої компанії, яка впроваджує, робить доступними чи використовує систему ШІ в ЄС або чий вміст використовується в ЄС», — зазначив Скотт Біклі, експерт Info-Tech Research Group.
Це означає, що «якщо ви пропонуєте продукт ШІ на ринку ЄС, або навіть якщо вміст вашого ШІ використовується в ЄС, ви підпадаєте під цей акт», — додав Уайат Мехем, засновник Northwest AI Consulting.
Наприклад, американська маркетингова компанія, яка використовує штучний інтелект для створення рекламного тексту для кампанії клієнта в Німеччині, повинна дотримуватися вимог акта.
Просто подумайте про це так: «Якщо ви створюєте ШІ, що може вплинути на робочі місця, здоров’я або фінанси людей, вам доведеться дотримуватися суворіших правил. Але якщо ви розробляєте інструменти, такі як чат-боти або розумні помічники, це переважно стосується прозорості — необхідно інформувати людей про те, що вони спілкуються з ШІ», — наголосив Шай Болор, головний стратег з ринків Futurum Equities.
Як дотримуватися Акту про ШІ ЄС
Мехем зазначив, що конкретні вимоги щодо дотримання залежать від того, куди потрапляють МСП за чотирма рівнями ризику ШІ, визначеними Актом:
- Неприпустимий ризик: Системи ШІ, що здійснюють соціальне оцінювання або ненаправлене розпізнавання облич.
- Системи високого ризику: До них належить ШІ, що використовується в наймі, освіті, оцінці кредитоспроможності або інфраструктурі. Вони повинні дотримуватися правил акта щодо управління ризиками, прозорості даних і реєстрації.
- Системи обмеженого ризику: МСП, які використовують чат-боти, такі як ChatGPT або Perplexity для створення контенту або генерування дипфейків, повинні розкривати використання ШІ, а контент має бути позначений як створений ШІ.
- Системи мінімального ризику: До них відносять використання ШІ в антиспам-фільтрах або відеоіграх. Вони не підлягають обов’язковим правилам, але користувачі заохочуються дотримуватися добровільних стандартів.
Ендрю Гаміно-Чеонг, CTO та співзасновник компанії Trustible, що допомагає підприємствам дотримуватися норм, порадив МСП, які вважають, що не створюють «обладнання високого ризику», все ж перевірити це.
«Будь-яка МСП, що розробляє інструмент на основі OpenAI або Claude, може бути визнана “постачальником” системи високого ризику та підпадати під її вимоги», — пояснив Гаміно-Чеонг.
Біклі зазначив, що ЄС пропонує певні полегшення для малих підприємств:
- Доступ до безкоштовних регуляторних песочниць, де МСП можуть тестувати ШІ під наглядом без ризику повної відповідальності.
- Спрощені шаблони технічної документації для систем високого ризику.
- Зменшені збори на оцінку відповідності для малих компаній.
- Спеціалізовані гарячі лінії та навчання від національних наглядових органів.
Проте, «основні вимоги не скасовуються і діють однаково для всіх відповідних організацій», — нагадав Біклі.
Щоб розпочати, Мехем і Біклі рекомендують такі кроки:
- Аудит і класифікація: МСП не можуть дотримуватися вимог, якщо не знають, що у них є. Створіть інвентар усіх систем штучного інтелекту, які використовуються або розробляються, та класифікуйте їх рівень ризику згідно з Актом. Є безкоштовні онлайн-інструменти від груп, таких як Європейська цифрова Асоціація МСП.
- Спершу обробляйте системи високого ризику: Розпочніть розробку нормативної основи вже зараз і документуйте джерела даних, встановлюйте процес управління ризиками та забезпечте значний людський контроль. Обов’язки високого ризику почнуть діяти з 2026 року.
- Виконайте аналіз прогалин у дотриманні, розробіть процес дотримання, запровадьте систему управління якістю, що підходить для МСП (наприклад, ISO 42001 або NIST AI RMF) та забезпечте прозорість, розкриваючи використання ШІ в чат-ботах, дипфейках і штучному генерованому вмісті.
- Проведіть перевірку постачальників, у тому числі вимагайте від них доказів дотримання Акту про ШІ. Постійно відстежуйте стандарти та кодекси поведінки на випадок змін у ЄС.
Болор закликав МСП не розглядати дотримання як тягар, а як можливість для зростання.
«Я не сприймаю Акт про ШІ ЄС як фатальний удар для МСП — це скоріше фільтр. Ви не звільняєтеся від відповідальності, але й не потрапляєте в обставини, які вас загрожують», — зазначив Болор. «Чим раніше ви навчитеся дотримуватися правил, тим швидше зможете зростати. Великі компанії хочуть мати партнерів, які дотримуються правил, і якщо ви зможете випередити час, це можете бути ви.