EU AI Act для IT: что реально изменилось летом 2025 и как публиковать про ИИ без лишних рисков / forpes.ru

Главная
EU AI Act для IT: что реально изменилось летом 2025 и как публиковать про ИИ без лишних рисков

EU AI Act для IT: что реально изменилось летом 2025 и как публиковать про ИИ без лишних рисков

16.09.2025 06:30

Bizdroblenie 0 129 Источник

Скажу по-человечески. Летом 2025 года все немного перегрелись от новостей про регулирование ИИ, но работать нужно уже сегодня. Ни паники, ни бравады. Спокойный разбор, где сроки на месте, а формулировки не подводят.

Что действительно заработало и на что смотреть в первую очередь

Главное событие сезона - для моделей общего назначения начали действовать новые обязательства по прозрачности и раскрытию информации об источниках обучения. Появились требования к описанию источников данных в разумной форме, к предупреждениям об ограничениях и к процедурам снижения рисков.

Если модель доступна на рынке Европейского Союза с июля 2025 года, обязанности начинают применяться сразу. Для моделей, выпущенных ранее, установлен переходный период до августа 2027 года для приведения решений в соответствие со стандартами.

Важно не путать это с блоком «высокого риска», где основной массив норм вступит в силу в августе 2026 года.

Запреты, введённые в начале года, остаются в силе. Сюда относятся запреты на социальный скоринг, манипуляции вне осознанности пользователя, эксплуатацию уязвимых групп, скрытую биометрию и подобные практики. Это жёсткая красная линия. Если у вас были эксперименты в этих областях, лучше срочно проверить сценарии и исключить всё, что хотя бы отдалённо схоже по смыслу.

Штрафы за нарушение этих запретов максимальные. Вообще нормы имеют экстерриториальное действие: если вы поставляете систему в ЕС или её результаты используются на территории Союза, необходимо соблюдать требования, независимо от местоположения серверов или компании. Аргументы в духе «наш сервер вообще в другой стране» не принимаются.

Минимальная программа соответствия на ближайшие месяцы

Сначала логика процесса, потом короткий список действий, чтобы проще организовать работу.

Перед тем как вносить изменения в регламенты или документацию, составьте карту ИИ-систем компании: перечень систем, ответственных за них лиц, какие данные используются и какие результаты выдаются, где есть взаимодействие с пользователем, а где — внутренний инструмент или клиентский продукт. Обязательно отметьте потенциальные риски и точки принятия решений человеком. Это не бюрократия, а страховочная сетка.

Далее короткий перечень основных действий (список намеренно узкий, чтобы не распыляться):

Проверьте, какие сценарии подпадают под запреты. Если есть сомнения, оформляйте отдельный анализ и приостанавливайте запуск до финальной проверки.
Разделите роли: кто поставщик модели, кто внедряющий и кто простой пользователь. От роли зависят обязанности и необходимые документы.
Подготовьте понятную документацию: краткая карточка модели, настройка журналирования событий, результаты тестов, ограничения применения, инструкции для пользователей.
Назначьте ответственного за соответствие: человек, который координирует управление рисками, обучает команды и закрывает вопросы до релиза, а не после.

Наблюдаемые кейсы из практики команд

Чат-боты в сервисных продуктах. Формально не высокий риск, но есть требования к прозрачности и пометкам синтетики. Лучше явно сообщать пользователю, что он имеет дело с ИИ, а на узких кейсах дать кнопку вызова человека. Это снижает жалобы и упрощает внутренние проверки.

Автоматизация найма. Это высокий риск. Прежде чем подключать такой инструмент в продакшн, убедитесь в наличии полного пакета: управление рисками, качество данных, журналирование, техническая документация, человек в контуре, информационные материалы для пользователей и меры кибербезопасности. Впечатляет, но большую часть можно организовать с помощью инженерных практик и корпоративных регламентов.

Персонализация в рекламе. Обычно не высокий риск, но есть много подводных камней. Запрещённые подходы и дискриминация в профилировании вредят репутации быстрее, чем штрафы. Здесь спасает простая дисциплина: контролируйте признаки, которым обучается модель, утверждайте списки исключённых атрибутов, раз в квартал прогоняйте тесты на смещение. Понятно, но эффективно.

Что публиковать публично, а что оставлять внутри компании

Публично хорошо показывать три вещи: трезвые аналитические разборы без паники, чёткие схемы внедрения и контроля, а также истории про ошибки и их исправление, даже маленькие.

Внутри остаются «грязные» детали датасетов, внутренние механизмы, промежуточные результаты тестов, которые ещё не доведены до стандарта. Это не секретность ради секретности, а ответственная публикация. Аудитория сегодня ценит аккуратность больше, чем громкие заголовки.