Відтермінування частини зобов’язань для систем із високим ризиком не повинно вводити компанії в оману: AI Act уже застосовується поетапно. Починаючи з 2 серпня 2026 року настає новий ключовий дедлайн, зокрема щодо вимог прозорості. Chatbots, контент, згенерований за допомогою AI, deepfakes, HR-інструменти, SaaS, доповнені AI, розмовні агенти: IntelligenceArtificielle.com у довідковій записці нагадує, що організації мають перейти від моніторингу регулювання до операційного інвентарю своїх AI-використань.
У багатьох компаніях AI Act і досі відносять до папок «юридичне», «комплаєнс» або «розглянемо пізніше». Це хибний розрахунок.
Європейський регламент про штучний інтелект уже не є далеким текстом. Він набрав чинності 1 серпня 2024 року і застосовується поетапно. Заборони на окремі практики AI та вимога щодо AI literacy діють із 2 лютого 2025 року. Правила governance та зобов’язання щодо моделей штучного інтелекту загального призначення застосовуються з 2 серпня 2025 року. Наступний великий етап настане 2 серпня 2026 року, коли набуде загального застосування низка положень, зокрема вимоги прозорості, передбачені статтею 50.
Іншими словами, питання вже не в тому: «Що передбачає AI Act?» А в тому: «Чи знаємо ми, де, як і навіщо вже використовуємо AI в компанії?»
Відтермінування high risk не означає відтермінування AI Act
Digital Omnibus міг створити враження перепочинку. Правила, що застосовуються до систем AI із високим ризиком, тепер мають бути переглянуті: їхнє застосування заплановано на 2 грудня 2027 року для автономних систем, що підпадають під Annex III, і на 2 серпня 2028 року для систем, інтегрованих у продукти, які регулюються галузевим законодавством. Європарламент схвалив ці заходи зі спрощення 16 червня 2026 року, однак текст ще має бути формально ухвалений Council перед набуттям чинності.
Але це відтермінування не призупиняє решту регламенту.
Воно не переносить уже чинні заборонені практики. Воно не переносить вимогу щодо AI literacy. Воно не переносить зобов’язання щодо моделей AI загального призначення. І воно не має спонукати компанії ігнорувати дедлайн 2 серпня 2026 року.
Саме в цьому й полягає пастка: вважати, що AI Act починається лише із систем high risk. Насправді перша операційна хвиля стосується набагато ширших і буденніших сценаріїв: розмовних асистентів, клієнтських chatbots, контенту, створеного AI, текстів, опублікованих за допомогою AI, синтетичних зображень, штучного голосу, deepfakes, інструментів генерації, вбудованих у бізнес-програмне забезпечення.
Що змінюється 2 серпня 2026 року
Із 2 серпня 2026 року вимоги прозорості виходять на перший план. Зокрема, вони покликані запобігти ситуаціям, коли люди взаємодіють із AI, не усвідомлюючи цього, коли синтетичний контент поширюється без належного маркування або коли deepfakes і певний контент суспільного значення, згенерований AI, подається так, ніби він повністю створений людиною.
Європейська комісія 10 червня 2026 року опублікувала Code of good practices on the transparency of AI-generated content. Він має допомогти постачальникам і користувачам виконувати вимоги щодо маркування, лейблування та виявлення, передбачені статтею 50. Приєднання до кодексу є добровільним, але вимоги прозорості статті 50 є юридично обов’язковими.
Для компанії це може означати дуже конкретні запитання:
- чи знає клієнт, що спілкується з chatbot?
- чи був контент, опублікований на тему суспільного значення, згенерований або суттєво змінений за допомогою AI?
- чи позначено як синтетичні зображення, відео або голос?
- чи створює внутрішній інструмент тексти, рекомендації або аналітику, які впливають на людські рішення?
- чи знають команди маркетингу, HR, customer service або product, що саме вони мають повідомляти, архівувати або перевіряти?
Digital Omnibus також передбачає строк до 2 грудня 2026 року для окремих вимог щодо маркування AI-generated content для систем, уже виведених на ринок до 2 серпня 2026 року. Але цей перехідний період не слід сприймати як загальне відтермінування прозорості: він стосується конкретної сфери застосування.
Справжній ризик: невидимий AI
Найбільший ризик для компаній не завжди полягає у великому AI-проєкті, презентованому на рівні топменеджменту. Найчастіше він уже існує всередині компанії.
AI-функції, активовані в CRM. Модуль scoring, доданий до маркетингового інструменту. HR assistant, який тестує рекрутинг-команда. Генератор контенту, яким користується комунікаційний відділ. Розмовний агент, під’єднаний до бази знань. Офісний copilot, розгорнутий без точної карти використань. Підрядник, який застосовує AI у своїх deliverables без явного повідомлення.
Le Hub France IA саме й наголошує на необхідності інвентаризації AI-систем в організації, включно з тими, що вбудовані в ринкові рішення, перебувають у розробці, вже працюють у production або виникають ще на етапі ideation. У своєму гіді «Premiers pas vers l’IA de Confiance» він рекомендує наповнювати реєстр AI-систем даними про джерела даних, технічні архітектури, бізнес-кейси, цільові групи, контекст розгортання та попередній аналіз ризиків.
Той самий документ застерігає щодо систем, які постачають треті сторони — видавці, підрядники, інтегратори, — адже вони дедалі частіше містять AI-компоненти, інколи невидимі для кінцевого користувача. Також він звертає увагу на феномен «Shadow AI»: неформальне використання загальних інструментів, AI-опції, додані постачальниками, невеликі SaaS-контракти, оформлені поза закупівельними процедурами, внутрішні експерименти, які проходять повз IT.
Саме тут комплаєнс AI Act стає питанням governance, а не лише права.
Комплаєнс починається з реєстру
Для багатьох організацій першим корисним кроком є не масштабний юридичний проєкт. Це створення простого реєстру AI-використань.
Такий реєстр не зобов’язаний бути ідеальним із першого дня. Він має дозволяти відповісти на кілька ключових запитань:
- який саме інструмент або AI-система використовується?
- яким підрозділом?
- для якої бізнес-мети?
- з якими даними?
- на яких людей або категорії людей це використання може впливати?
- компанія діє як простий користувач, deployer, інтегратор чи постачальник?
- чи підпадає використання під вимоги прозорості?
- чи може це використання належати до high risk?
- які докази зберігаються?
- за що відповідає постачальник?
Мета не в тому, щоб зупинити інновації. Мета — повернути контроль.
Компанія, яка не знає, де саме використовує AI, не може довести, що вона ним керує. А компанії, яка не знає, хто і що використовує, з якими даними та з якою метою, буде дуже складно відповісти на запит клієнта, аудитора, страховика, партнера, державного замовника або наглядового органу.
Чекліст, який варто запустити вже зараз
За кілька тижнів до дедлайну 2 серпня 2026 року компанії вже можуть рухатися вперед за прагматичною методикою.
1. Призначити AI Act lead.
Не обов’язково створювати нову посаду. Але потрібен чітко визначений відповідальний, здатний координувати IT, legal, procurement, бізнес-підрозділи, HR, compliance, security та communication.
2. Запустити інвентаризацію AI-використань.
Почати з видимих інструментів: chatbots, генераторів контенту, copilot-ів, внутрішніх агентів, API моделей, HR-рішень, маркетингових інструментів, scoring-систем, інструментів аналізу документів.
3. Шукати невидимий AI.
Опитати бізнес-підрозділи, закупівлі та підрядників. Критичні сценарії не завжди є в офіційних проєктах. Вони можуть бути в SaaS-опціях, індивідуальних акаунтах або локальних експериментах.
4. Створити мінімальний реєстр.
Для кожного використання: інструмент, постачальник, мета, підрозділ-користувач, оброблювані дані, залучені особи, очікуваний рівень ризику, можлива вимога прозорості, human oversight, наявні докази.
5. Визначити чутливі сценарії.
HR, рекрутинг, оцінювання працівників, освіта, кредитування, страхування, охорона здоров’я, біометрія, безпека, доступ до базових послуг: ці сфери потрібно аналізувати в пріоритеті.
6. Підготувати прозорість.
Для chatbots, розмовних агентів, згенерованого контенту, синтетичних зображень, штучного голосу, deepfakes або текстів суспільного значення компанія має вирішити, що саме повідомляти, де, яким формулюванням, в якому інтерфейсі та з яким підтвердженням.
7. Переглянути договори з постачальниками.
Покупці мають запитувати у видавців і підрядників потрібну інформацію: роль у value chain, доступну документацію, модель, що використовується, дані, умови training, logs, безпеку, зміну версій, виведення сервісу з експлуатації, субпідрядників.
8. Навчити команди.
AI literacy не зводиться до загального навчання. Recruiter, marketer, lawyer, developer, procurement manager або manager мають різні ризики та різні потреби.
9. Запровадити нагляд.
Для найважливіших сценаріїв потрібно визначити, хто контролює, коли саме, з якими порогами тривоги та якими коригувальними діями. Le Hub France IA зокрема рекомендує передбачити безперервний нагляд, human control, logs, alerts, моніторинг bias, протокол повідомлення про інциденти та оновлення документації.
10. Зібрати доказову базу.
Комплаєнс — це не лише зробити, а й мати змогу показати, що саме зроблено: реєстр, рішення, оцінки ризиків, навчання, договірні положення з постачальниками, скриншоти user information, внутрішні процедури, logs і протоколи перегляду.
Чекліст у стислому форматі, яким можна поділитися:
Санкції — лише частина питання
AI Act передбачає суттєві санкції: до 35 мільйонів євро або 7 % річного світового обороту за заборонені практики, до 15 мільйонів євро або 3 % за багато інших порушень, зокрема вимог прозорості, і до 7,5 мільйона євро або 1 % за надання неправдивої, неповної або такої, що вводить в оману, інформації органам влади.
Але найнебезпечнішим для багатьох компаній може бути не штраф як такий, а більш буденний ризик: програти тендер, не змогти відповісти на questionnaire постачальника, виявити, що HR-інструмент не був належно кваліфікований, побачити, що клієнтський chatbot не маркований, або не мати змоги довести, що рішення, ухвалене за допомогою AI, справді перебуває під людським наглядом.
Отже, AI-комплаєнс стає також питанням комерційної довіри.
У найближчі місяці великі компанії, державні закупівельники, страховики, інвестори та технологічні партнери дедалі частіше запитуватимуть: які AI-системи ви використовуєте? З якими даними? Для яких сценаріїв? З яким наглядом? З якими гарантіями від постачальників? З якими доказами?
Не чекати ідеального комплаєнсу
Пасткою було б чекати остаточних версій усіх гайдів, стандартів і ринкових практик, перш ніж починати. На цьому етапі завдання не в тому, щоб мати ідеальну систему. Завдання — мати першу карту, перший реєстр, перший аналіз чутливих сценаріїв і першу здатність відповісти.
Комплаєнс AI Act починається не з юридичної папки. Він починається з операційного запитання: чи знаємо ми, що саме запускаємо, де, для чого, з якими даними, під чиєю відповідальністю і з якими доказами?
Компанії, які зможуть відповісти, отримають перевагу. Інші переконаються, що AI, розгорнутий без карти, дуже швидко стає неможливим для управління.
Ця стаття базується на довідковій записці, присвяченій операційному зворотному відліку AI Act у компаніях, із консолідованим календарем, уже чинними зобов’язаннями, ключовими моментами щодо моделей AI загального призначення, прозорості, high risk, постачальників і реєстру AI.
Ця стаття має загальноінформаційний характер і не замінює юридичну консультацію, адаптовану до конкретної ситуації кожної організації.