Жодна з дванадцяти великих моделей ШІ, що були оцінені, не проходить поріг відповідності GDPR та AI Act, а ризик, який досі лежав на інтеграторах, тепер стає вимірюваним, документованим і таким, що може бути використаний як доказ. Саме це випливає з бенчмарку LARA (Legal Assessment for Real-world Agents), опублікованого 27 травня 2026 року неприбутковим дослідницьким фондом Aithos. Висновок однозначний: жодна з оцінених моделей повністю не відповідає вимогам регулювання Європейського Союзу, а деякі порушують європейські правила у до 93 % розглянутих випадків. Із дванадцяти протестованих моделей найкращий результат показала Claude Opus 4.1 від Anthropic — близько 54 % відповідності, тоді як Gemini 3.1 Pro від Google опустилася до 10 %. Цей висновок з’явився через десять місяців після набуття чинності зобов’язань AI Act для постачальників моделей загального призначення, які діють із 2 серпня 2025 року. Стаття 25 регламенту, що набрала чинності 1 серпня 2024 року і повністю застосовується з 2 серпня 2026 року, уже закріплювала спільну відповідальність інтегратора в тексті; LARA змінює саме перехід від теоретичного ризику до ризику, що можна кількісно оцінити для кожної моделі.
Матриця з 3000 сценаріїв, дванадцять моделей, мало тих, хто «вижив»
LARA базується на більш ніж 3000 сценаріїв, що охоплюють ключові ризики, на які націлені GDPR та AI Act. Протокол ставить кожну модель у агентні ситуації, де вона має розв’язувати юридичні або регуляторні дилеми: отримати згоду до збору даних, уникнути психологічного профілювання, відмовитися від маніпуляції користувачем, захистити вразливі аудиторії, забезпечити прозорість автоматизованих рішень. Найчастіше зафіксовані порушення стосуються використання персональних даних без чіткої правової підстави, неявного формування психологічних профілів і поведінки, здатної впливати на користувачів або маніпулювати ними. Рейтинг суворий: між лідером (Claude Opus 4.1) і аутсайдером (Gemini 3.1 Pro) моделі OpenAI, Meta, Mistral AI, xAI та DeepSeek також демонструють суттєві рівні невідповідності в кількох категоріях. Aithos, неприбутковий фонд, дослідницьким директором якого є Daan Henselmans, опублікував дослідження на власній платформі Substack 27 травня 2026 року; робота не проходила peer review і не отримала формальної регуляторної акредитації. Формулювання автора без прикрас підсумовує висновок: «Жодна передова модель не досягає прийнятного рівня відповідності з огляду на AI Act та європейське законодавство про приватність» (вільний переклад). У вихідному матеріалі не вказано ані дату тестів, ані точні версії оцінених моделей, окрім двох названих, — методологічна «сіра зона», яку публічна документація інструменту станом на сьогодні не усуває.
Відповідність GDPR / AI Act — бенчмарк LARA від Aithos (травень 2026, 3000+ сценаріїв)
| Модель | Вендор | Рівень відповідності |
|---|---|---|
| Claude Opus 4.1 | Anthropic | ~54 % |
| Gemini 3.1 Pro | ~10 % | |
| Моделі OpenAI, Meta, Mistral AI, xAI, DeepSeek | Різні | Не опубліковано окремо |
Жодна з 12 протестованих моделей повністю не відповідає європейським вимогам. Деякі порушують правила у до 93 % випадків. Джерело: Aithos LARA benchmark, травень 2026 року.
Стаття 25 AI Act: інтегратор стає співпостачальником, і це було відомо заздалегідь
Ключовий юридичний механізм, який LARA робить операційним, не є новим. Стаття 25 §1 AI Act, закріплена в регламенті, що набрав чинності 1 серпня 2024 року і застосовується з 2 серпня 2026 року, передбачає: якщо впроваджувач змінює передбачене використання системи ШІ з високим ризиком або наносить на неї власний бренд, він стає співпостачальником. На практиці це запускає пряме застосування статті 16, яка визначає базовий набір обов’язків постачальника: управління ризиками, технічна документація, моніторинг після виведення на ринок. DPO, який інтегрує універсальну модель у сценарій із високим ризиком, за цією логікою успадковує той самий доказовий режим, що й upstream-вендор.
Понад цю спільну відповідальність інтегратора і постачальника паралельно діє окремий режим для постачальників моделей загального призначення. З 2 серпня 2025 року стаття 53 встановлює для них власні обов’язки: документацію, політику дотримання авторського права, резюме навчальних даних. У разі порушення стаття 101 регламенту обмежує штрафи для таких постачальників 3 % від річного світового обороту або 15 млн євро — залежно від того, яка сума більша; однак повноваження Єврокомісія застосовуватиме лише з 2 серпня 2026 року.
Aithos робить акцент на ланці інтегратора: «компанії, які будують власних AI-агентів поверх цих моделей, також можуть нести юридичну відповідальність» (вільний переклад). Фонд додає, з чітко заявленою методологічною обережністю, що «системи GenAI ще не готові до розгортання у суворо регульованих середовищах без додаткових контролів і запобіжників» (вільний переклад). Спільна відповідальність уже була закладена в текстах; LARA перетворює її на кількісну оцінку для кожної моделі — той рівень аналізу, якого юридичні департаменти раніше не мали в такому форматі, придатному як підготовчий аудиторський доказ. Саме цей перехід — від теоретичного ризику до задокументованого — змінює правила гри для юридичних функцій, а не сам по собі бал.
Прецеденти, реальні санкції та новий шар комплаєнсу, який уже фінансується
Висновки LARA з’являються на тлі напруженого регуляторного ландшафту. В Італії Garante della Privacy у грудні 2024 року наклав штраф у 15 млн євро на OpenAI за обробку персональних даних через ChatGPT, згідно з тодішніми повідомленнями, у продовження процедури, відкритої у 2023 році — ActuIA вже документувала початкове обмеження сервісу в Італії. Це рішення було скасоване в апеляції Римським трибуналом у першому кварталі 2026 року з процесуальних підстав: Irish Data Protection Commission стала провідним наглядовим органом для OpenAI ще з лютого 2024 року, тож Garante більше не мав компетенції в межах механізму єдиного вікна GDPR. Водночас сам доказовий аспект справи залишається повністю відкритим. З боку вендорів Meta віддала перевагу призупиненню європейського запуску своїх мультимодальних моделей Llama 3, а не зіткненню з тріадою DMA/GDPR/AI Act — сигнал того, що географічне уникнення залишається опцією для гравців, які вважають ризик надто дорогим. На іншому кінці ринку екосистема готується: стартап ZeroDrift, який розробляє middleware для комплаєнсу, розміщений між LLM і кінцевими користувачами, оголосив, за власними комунікаціями, про залучення 10 млн доларів на початку червня 2026 року, через кілька днів після публікації LARA. Станом на 8 червня 2026 року жоден із названих постачальників — Anthropic, Google, OpenAI, Meta, Mistral AI, xAI, DeepSeek — публічно не оскаржив методологію Aithos, не заявив альтернативний бал і не запропонував інший протокол. «Вузол» полягає в мовчанні тексту: AI Act не уточнює розподіл тягаря доказування між постачальником моделі загального призначення та впроваджувачем, коли шкода вже завдана кінцевому користувачу. Саме це прогалину й мають заповнити перші справи, винесені на розгляд національних наглядових органів, починаючи з 2 серпня 2026 року.