Değerlendirilen on iki büyük yapay zeka modelinin hiçbiri GDPR ve AI Act uyumluluk eşiğini geçemiyor; bugüne kadar entegratörlerin üzerinde duran risk artık ölçülebilir, belgelenebilir ve hukuken ileri sürülebilir hale geliyor. Bu, kâr amacı gütmeyen araştırma vakfı Aithos tarafından 27 Mayıs 2026’da yayımlanan LARA (Legal Assessment for Real-world Agents) benchmark’ının ortaya koyduğu sonuç. Karar net: değerlendirilen modellerin hiçbiri Avrupa Birliği’nin düzenleyici gerekliliklerini tam olarak karşılamıyor ve bazıları incelenen vakaların %93’üne kadarında Avrupa kurallarını ihlal ediyor. Test edilen on iki model arasında Anthropic’in Claude Opus 4.1 modeli yaklaşık %54 uyumlulukla en iyi skoru alırken, Google’ın Gemini 3.1 Pro modeli %10’a kadar düşüyor. Bu tespit, genel amaçlı model sağlayıcıları için AI Act yükümlülüklerinin 2 Ağustos 2025’ten bu yana yürürlükte olmasından on ay sonra geliyor. 1 Ağustos 2024’te yürürlüğe giren ve 2 Ağustos 2026’da tam olarak uygulanacak olan yönetmeliğin 25. maddesi, entegratörün ortak sorumluluğunu zaten metne işlemişti: LARA’nın değiştirdiği şey, teorik riskin model bazında nicelendirilebilir riske dönüşmesi.
3.000 senaryoluk bir çerçeve, on iki model, az sayıda ayakta kalan
LARA, GDPR ve AI Act’in hedeflediği başlıca riskleri kapsayan 3.000’den fazla senaryoya dayanıyor. Protokol, her modeli hukuki veya düzenleyici ikilemlerle karşı karşıya bırakan ajanik durumlara yerleştiriyor: toplama öncesinde rıza almak, psikolojik profillemeden kaçınmak, bir kullanıcıyı manipüle etmeyi reddetmek, kırılgan grupları korumak, otomatik kararların şeffaflığını sağlamak. Belgelendirilen en sık ihlaller; açık bir hukuki dayanak olmaksızın kişisel verilerin kullanılması, örtük psikolojik profiller oluşturulması ve kullanıcıları etkilemeye ya da manipüle etmeye elverişli davranışlar. Sıralama sert: en üstteki Claude Opus 4.1 ile en alttaki Gemini 3.1 Pro arasında, OpenAI, Meta, Mistral AI, xAI ve DeepSeek modelleri de çeşitli kategorilerde anlamlı uyumsuzluk oranları sergiliyor. Aithos, araştırma direktörü Daan Henselmans olan kâr amacı gütmeyen bir vakıf olarak çalışmayı 27 Mayıs 2026’da kendi Substack platformunda yayımladı; çalışma hakem değerlendirmesinden geçmedi ve resmî bir düzenleyici akreditasyon almadı. Yazarın doğrudan alıntısı sonucu açıkça özetliyor: “Önde gelen hiçbir model, AI Act ve Avrupa gizlilik mevzuatı açısından kabul edilebilir uyumluluk seviyelerine ulaşmıyor” (serbest çeviri). Kaynak makale, iki adı geçen model dışında testlerin tarihini veya değerlendirilen modellerin tam sürümlerini belirtmiyor; bu da aracın kamuya açık dokümantasyonunun bugün için gidermediği metodolojik bir belirsizlik alanı oluşturuyor.
GDPR / AI Act Uyumluluğu — Aithos LARA benchmark’ı (Mayıs 2026, 3.000+ senaryo)
| Model | Sağlayıcı | Uyumluluk oranı |
|---|---|---|
| Claude Opus 4.1 | Anthropic | ~%54 |
| Gemini 3.1 Pro | ~%10 | |
| OpenAI, Meta, Mistral AI, xAI, DeepSeek modelleri | Çeşitli | Tek tek yayımlanmadı |
Test edilen 12 modelin hiçbiri Avrupa gerekliliklerini tam olarak karşılamıyor. Bazıları kuralları vakaların %93’üne varan oranlarda ihlal ediyor. Kaynak: Aithos LARA benchmark, Mayıs 2026.
AI Act Madde 25: entegratör ortak sağlayıcıya dönüşüyor ve bunu zaten biliyordu
LARA’nın işlevsel hale getirdiği temel hukuki mekanizma yeni değil. 1 Ağustos 2024’te yürürlüğe giren ve 2 Ağustos 2026’dan itibaren uygulanacak olan AI Act’in 25. maddesinin 1. fıkrası, yüksek riskli bir yapay zeka sisteminin öngörülen kullanımını değiştiren ya da üzerine kendi markasını yerleştiren bir uygulayıcının ortak sağlayıcı haline geldiğini öngörüyor. Pratikte bu nitelendirme, sağlayıcıya ilişkin yükümlülüklerin temelini tanımlayan 16. maddenin doğrudan uygulanmasını tetikliyor: risk yönetimi, teknik dokümantasyon, piyasaya arz sonrası gözetim. Genel amaçlı bir modeli yüksek riskli bir kullanım senaryosuna entegre eden bir DPO, bu mekanizma sayesinde, yukarıdaki modelin sağlayıcısıyla aynı ispat rejimini devralıyor.
Bu entegratör-sağlayıcı ortak sorumluluğunun üzerinde, genel amaçlı model sağlayıcılarına özgü rejim paralel olarak uygulanıyor. 53. madde, 2 Ağustos 2025’ten bu yana genel amaçlı yapay zeka modeli sağlayıcılarına özgü yükümlülükleri belirliyor: dokümantasyon, telif hakkı uyum politikası, eğitim verilerinin özeti. İhlal halinde, yönetmeliğin 101. maddesi bu sağlayıcılar için para cezalarını yıllık küresel cironun %3’ü veya 15 milyon avro ile sınırlandırıyor; hangisi yüksekse o esas alınıyor. Ancak Komisyon bu yaptırım yetkisini 2 Ağustos 2026’dan itibaren kullanabilecek.
Aithos, odağı entegratör halkasına yerleştiriyor: “Bu modellerin üzerine kendi yapay zeka ajanlarını kuran şirketler de hukuken sorumlu tutulabilir” (serbest çeviri). Vakıf ayrıca metodolojik bir çekinceyle, “GenAI sistemlerinin, ek kontroller ve güvenlik önlemleri olmaksızın son derece düzenlenmiş ortamlarda kullanılmaya henüz hazır olmadığını” belirtiyor (serbest çeviri). Ortak sorumluluk metinlerde zaten vardı; LARA ise bunu model bazında nicel bir ölçüye dönüştürüyor — hukuk birimlerinin bu biçimde henüz sahip olmadığı, denetim ön hazırlığı olarak kullanılabilecek bir analiz granülaritesi. Hukuk ekipleri için denklemi değiştiren şey, skorun kendisinden çok, teorik riskin belgelenmiş riske dönüşmesi.
Önceki örnekler, fiili yaptırımlar ve finanse edilen uyumluluk katmanı
LARA bulgusu, gerilimli bir düzenleyici ortamda ortaya çıkıyor. İtalya’da Garante della Privacy, 2024 Aralık ayında OpenAI’ye ChatGPT üzerinden kişisel veri işleme nedeniyle 15 milyon avro para cezası vermişti; bu, 2023’te açılan sürecin devamı niteliğindeydi - ActuIA, hizmetin İtalya’daki ilk kısıtlamasını daha önce belgelemışti. Ancak bu yaptırım, 2026’nın ilk çeyreğinde Roma Mahkemesi tarafından usule ilişkin bir gerekçeyle temyizde iptal edildi: İrlanda Veri Koruma Komisyonu, Şubat 2024’ten itibaren OpenAI için lider otorite haline geldiğinden, Garante’nin GDPR tek durak mekanizması kapsamında yetkisi kalmamıştı. Delile ilişkin esas tartışma ise bütünüyle açık kalmaya devam ediyor. Sağlayıcı cephesinde, Meta, DMA/GDPR/AI Act üçlüsüyle yüzleşmek yerine Llama 3 çok modlu modellerinin Avrupa lansmanını askıya almayı tercih etmişti; bu da coğrafi kaçınmanın maliyeti fazla bulan oyuncular için hâlâ bir seçenek olduğunu gösteriyor. Diğer uçta ise piyasa hazırlık yapıyor: LLM’ler ile son kullanıcılar arasına konumlanan bir uyumluluk middleware’i geliştiren ZeroDrift girişimi, kendi açıklamalarına göre, LARA’nın yayımlanmasından birkaç gün sonra, Haziran 2026 başında 10 milyon dolarlık bir yatırım turu duyurdu. 8 Haziran 2026 itibarıyla adı geçen sağlayıcılardan hiçbiri - Anthropic, Google, OpenAI, Meta, Mistral AI, xAI, DeepSeek - Aithos metodolojisine kamuoyu önünde itiraz etmemiş, bir skor iddia etmemiş ya da alternatif bir protokol önermemişti. Kilit nokta metnin sessiz kaldığı bir yerde yatıyor: AI Act, genel amaçlı model sağlayıcısı ile uygulayıcı arasında, son kullanıcıda bir zarar oluştuğunda ispat yükünün nasıl paylaşılacağını açıkça belirtmiyor. 2 Ağustos 2026’dan itibaren ulusal denetim otoriteleri önüne gelecek ilk dosyalar, işte bu boşlukta karar verecek.