AI Act в действии: что меняется для компаний в августе 2025 и как подготовиться

В августе 2025 года в ЕС начинают действовать ключевые положения Акта об искусственном интеллекте, которые касаются поставщиков моделей общего назначения и провайдеров, подпадающих под критерии «системного риска». Для тысяч компаний это означает необходимость перейти от деклараций о безопасном ИИ к формализованным процессам: оценке рисков, документированию обучения, испытаниям на устойчивость и готовности к инцидентам. Переходный период короткий, поэтому подготовка требует чёткого плана.

Что меняется

С августа 2025 года к моделям общего назначения применяются обязательства по прозрачности: описание источников данных, техническая документация, правила по авторскому праву и процедуры управления рисками. Для моделей, признанных создающими системный риск, добавляются усиленные меры: независимые оценки, противодействие атакующим prompt’ам и отчётность о серьёзных инцидентах. Штрафы за несоблюдение достигают семи процентов мирового оборота, поэтому вопрос комплаенса переходит из «желательно» в «обязательно».

Читайте также

Читайте также

Кибербезопасность в эпоху ИИ: новые возможности и вызовы

Константин Ершов

Кибербезопасность

Как готовиться

Первое — инвентаризация: какие ИИ-системы используются, где принимаются решения и какие данные затрагиваются. Второе — карта рисков: отдельные профили для генеративных моделей, рекомендательных сервисов и высокорисковых кейсов (подбор персонала, медицина, образование). Третье — доказательная база: протоколы тестирования, метрики качества и bias-оценки, журнал релизов, перечень контрмер против prompt-инъекций и утечек. Четвёртое — управление цепочкой поставок: запросы к вендорам о соблюдении требований и готовые шаблоны договоров с разделом об ИИ.

Что делать техкомандам

Обновить пайплайны MLOps: добавить автоматизированные «ворота» для регуляторных проверок, фиксировать версии датасетов и артефактов обучения, запускать красные команды для атак симулятором злоумышленника. Отдельно — безопасность: сегментация доступа к весам моделей, сканирование зависимостей, контроль генерации секретов, журналирование обращений к ИИ-API и защита конфиденциальных подсказок пользователей. Для генерации контента — водяные знаки, детекторы синтетики и политика маркировки.

Что делать бизнесу

 Пересмотреть пользовательские соглашения и политики приватности, внедрить обучение ИИ-грамотности для сотрудников, назначить владельцев рисков и уполномоченного по ИИ. Встроить в процессы ответственного дизайна принципы «минимизации возможностей злоупотребления»: по умолчанию ограниченные режимы работы, явные границы применения и человеческий надзор там, где последствия затрагивают права граждан. Для кросс-граничных операций — согласовать юрисдикции хранения данных и трансграничные потоки.

Чек-лист на ближайшие месяцы

• Провести gap-анализ требований к GPAI и системному риску.
• Заполнить публичное резюме обучающего контента моделей и подготовить техдокументацию.
• Подписать или сопоставить внутренние практики с Кодексом практики для GPAI.
• Запустить программу красного тестирования и процессы уведомления об инцидентах.
• Обновить договоры с поставщиками и контрагентами, включив гарантию соответствия Акту.

Кого затрагивает

Под обязательства попадают провайдеры моделей общего назначения, которые выпускаются на рынок ЕС или используются в продуктах и услугах, доступных гражданам Союза. Решающее значение имеют масштаб и вычислительные затраты: чем шире влияние и мощнее модель, тем выше ожидания регулятора. Для открытых весов требования идентичны: публикация исходников не освобождает от ответственности за безопасность и добросовестность.

Роль AI Office и национальных регуляторов

Специальное ведомство координирует применение правил к моделям общего назначения, собирает отчётность и выпускает шаблоны публичных резюме обучающих контентов. Национальные органы надзора контролируют внедрение требований к высокорисковым системам в отраслях, где ИИ влияет на здоровье, доступ к услугам и фундаментальные права. Это разграничение позволяет ускорить применение правил без дублирования проверок.

Взаимосвязь с другими нормами

Требования по маркировке синтетического контента и борьбе с манипуляциями взаимодополняют обязательства по DSA/DMA для крупных платформ, а также нормы защиты данных GDPR. Компаниям важно свести требования в единую карту, чтобы исключить конфликт политики модерации, приватности и прозрачности алгоритмов.

SME-фокус

Для малых и средних предприятий предусмотрены шаблоны документации, «песочницы» и консультации. Это стимулирует рынок решений «комплаенс-как-сервис» и появление специализированных провайдеров оценок.

Практика внедрения

Компании, начавшие подготовку заранее, строят реестр моделей, где для каждой единицы указаны владелец, назначение, версия, зависимости, метрики и уровень риска. В релизный цикл добавляется этап «go/no-go» с подписью ответственных; для генераторов изображений и текста — полоса тестов на галлюцинации, токсичность и утечки персональных данных. Внутренние «синие команды» проверяют устойчивость к jailbreak-атакам и обходу фильтров, а сервисы поддержки обучены корректно реагировать на сообщения о нарушениях.

Перспектива 2026–2027

После 2025 года в силу вступят требования к высокорисковым системам и продуктам, встроенным в отраслевые регламенты. Это означает, что качество управленческих практик и следы аудита станут обязательной частью технологического долга, а ИИ-комплаенс закрепится в KPI продуктовых и инженерных команд.