Більшість компаній не сідали одного дня з рішенням “впровадити штучний інтелект”. Він з’явився поступово в інструментах, якими вони вже користувалися.
Наприклад, HR-платформа почала автоматично ранжувати кандидатів. CRM-система почала оцінювати потенційних клієнтів. Система підтримки почала маршрутизувати запити без участі людини.
Інакше кажучи, штучний інтелект поширювався поступово. Він входив у роботу через різні команди, нові функції продуктів і оновлення від постачальників. Однак часто ніхто не відстежував це централізовано.
Сам по собі цей процес не є проблемою. Проблема виникає тоді, коли компанія не знає, що саме вона використовує.
Перш ніж великі корпоративні клієнти почнуть надсилати опитувальники з окремими питаннями про ШІ, варто провести базове мапування. Те саме стосується ситуацій, коли інвестори починають питати про управління ШІ.
Компанія має розуміти, де саме вона використовує штучний інтелект. Також важливо знати, що ці системи роблять, які дані обробляють і на які рішення впливають.
Саме для цього потрібен аудит систем штучного інтелекту.
Акт ЄС про штучний інтелект додає регуляторної терміновості проблемі, яка вже існувала в багатьох компаніях.
Коротко про регуляторний контекст
Регламент (ЄС) 2024/1689 застосовується поетапно з серпня 2024 року.
У лютому 2025 року Європейський Союз заборонив певні неприйнятні практики використання ШІ. До них належать, зокрема, соціальне оцінювання та окремі форми біометричного нагляду в режимі реального часу в публічних місцях.
Крім того, у серпні 2025 року почали застосовуватись обов’язки, пов’язані з моделями штучного інтелекту загального призначення. Цей графік описано в офіційному таймлайні впровадження Акта ЄС про штучний інтелект.
З 2 серпня 2026 року Офіс ЄС зі штучного інтелекту отримує повноваження щодо контролю за виконанням вимог до моделей ШІ загального призначення. Стаття 99 Регламенту визначає структуру штрафів.
Штрафи можуть сягати 35 мільйонів євро або 7% загального світового річного обороту за використання заборонених систем ШІ. Інші порушення Акта можуть призвести до штрафів до 15 мільйонів євро або 3%. Надання регуляторам неправдивої інформації може спричинити штраф до 7,5 мільйона євро або 1%.
Щодо високоризикових систем ситуація змінилася у травні 2026 року. Європейський парламент і Рада досягли попередньої домовленості в межах ініціативи Digital Omnibus.
Домовленість передбачає продовження строків, пов’язаних із Додатком III. Для автономних високоризикових систем новим строком є грудень 2027 року. Для ШІ, вбудованого в регульовані продукти, строком є серпень 2028 року. Формальне ухвалення ще триває.
Водночас важливо підкреслити: це продовження стосується саме високоризикових обов’язків. Інші вимоги, зокрема щодо прозорості та маркування згенерованого контенту, потрібно оцінювати окремо.
Класифікація систем штучного інтелекту залежить від призначення системи. Вона також залежить від її технічного дизайну та контексту використання.
Якщо класифікація не є очевидною, варто залучити юридичних фахівців. Allmatics зосереджується на технічній та операційній стороні. Ми аналізуємо, що системи насправді роблять, які ризики несуть і яка документація або інфраструктура можуть підтримати відповідність вимогам.
Які індустрії мають найбільшу експозицію
Додаток III Акта ЄС про штучний інтелект визначає сфери, у яких системи можуть вважатися високоризиковими. До них належать біометрична ідентифікація, критична інфраструктура, освіта, працевлаштування, базові послуги, правоохоронна діяльність, міграція та правосуддя.
Однак самої назви продукту недостатньо. Важливо, як саме використовується система і яку роль вона відіграє в ухваленні рішення.
Проєкт рекомендацій Європейської комісії щодо класифікації високоризикових систем має допомогти з тлумаченням. Проте ці рекомендації ще можуть змінюватися.
Саме тому технічна оцінка має таке саме значення, як і юридичне тлумачення.
Фінансові послуги
Системи ШІ у фінансових послугах часто мають підвищений рівень ризику. Особливо тоді, коли вони впливають на оцінку кредитоспроможності, видачу позик, кредитні ліміти або ціни на страхування для фізичних осіб.
Приклади включають автоматизовані перевірки платоспроможності. До цієї ж групи належать моделі кредитного скорингу та інструменти оцінки ризику в життєвому й медичному страхуванні.
Проблема полягає в тому, що штучний інтелект часто уже вбудований у ключові бізнес-процеси. Іноді він є частиною платформ, які організація придбала багато років тому. Через це його ніхто окремо не мапував.
Багато команд не знають, які моделі насправді використовуються. Вони також не знають, на яких даних ці моделі були навчені. Часто незрозуміло й те, чи зберігаються результати роботи системи десь усередині інфраструктури.
HR і рекрутинг
Системи штучного інтелекту в HR можуть бути особливо чутливими. Це стосується випадків, коли вони впливають на формування короткого списку кандидатів, ранжування або оцінювання відеоінтерв’ю.
Схожа логіка застосовується до інструментів, які впливають на оцінку ефективності працівників. До цієї групи також можуть входити рекомендації щодо підвищення або розподілу завдань.
Компанії, які використовують зовнішні HR-платформи, можуть мати власні обов’язки. Відповідальність за відповідність вимогам не можна автоматично перекласти на постачальника.
Стаття 26 Регламенту визначає обов’язки користувачів високоризикових систем. Серед них використання системи відповідно до інструкцій, людський нагляд, моніторинг роботи системи та, у певних випадках, інформування осіб, на яких система впливає.
Людський нагляд не має бути формальністю. Потрібна людина, яка має повноваження, інформацію та реальну можливість переглянути або скасувати результат.
Охорона здоров’я та електронна комерція
У сфері охорони здоров’я регуляторна картина особливо складна. Штучний інтелект може допомагати в діагностиці, клінічному ухваленні рішень, тріажі пацієнтів або рекомендаціях щодо лікування.
Такі системи можуть бути високоризиковими. Крім того, частина з них може також вважатися медичними виробами за правилами ЄС щодо медичних виробів.
Тому організаціям у сфері охорони здоров’я спершу потрібно замапити інструменти. Лише після цього можна оцінити, який саме регуляторний режим застосовується до кожної системи.
В електронній комерції ситуація інша. Багато систем мають нижчий ризик. Це часто стосується рекомендацій товарів, персоналізації та базових інструментів клієнтської підтримки.
Однак є винятки. ШІ, який оцінює кредитоспроможність у моделях “купуй зараз, плати пізніше”, може бути високоризиковим. Подібна логіка може застосовуватись до систем, які визначають ціну додаткового страхування для конкретного покупця.
Тому компанії не повинні припускати, що система є низькоризиковою лише тому, що вона орієнтована на споживачів. Спочатку потрібно перевірити її реальне призначення та вплив.
Для B2B SaaS-компаній ризик часто виникає неочікувано. Якщо продукт стосується сфер із Додатка III, підхід до відповідності вимогам стає частиною продажів.
Закупівельні команди великих підприємств у ЄС уже ставлять питання про управління ШІ. Компанії, які можуть відповісти чітко й документовано, швидше проходять етапи продажу.
Що насправді перевіряє аудит систем штучного інтелекту
Юридична команда може сказати, що вимагає регулювання. Однак вона не може самостійно перевірити технічні ризики у вашій архітектурі.
Наприклад, юридична команда не побачить, чи має система генерації відповідей із пошуком у базі знань прогалини в ізоляції даних. Вона не знатиме, чи зовнішня велика мовна модель отримує персональні дані клієнтів у промптах. Вона також не зможе підтвердити, чи можна після факту відтворити рішення, підтримане ШІ.
Це технічна сторона готовності. Саме тут працює Allmatics.
Інвентаризація систем і мапування моделей
Початкова точка завжди однакова: інвентаризація. Які функції штучного інтелекту реально активні у продукті або бізнес-процесах?
Для цього потрібно переглянути продукт, договори з постачальниками та інфраструктуру. Недостатньо просто запитати команди, чим вони користуються.
Штучний інтелект часто з’являється через оновлення платформ. Product-менеджери можуть схвалити нову функцію, не до кінця розуміючи її AI-компонент.
Саме тому компанії часто знаходять більше систем штучного інтелекту, ніж очікували.
Далі ми мапимо моделі та програмні інтерфейси. Ми дивимось, що саме використовується, чи це внутрішнє, чи зовнішнє рішення, і які інтерфейси впливають на які рішення.
Якщо компанія використовує базову модель, важливий увесь ланцюг. Він включає виклик інтерфейсу, обробку даних і результат, який бачить користувач.
Дані, логування та перевірка ризиків
Експозицію до зовнішніх великих мовних моделей часто недооцінюють. Які дані ви надсилаєте зовнішнім моделям? Чи з’являються персональні дані клієнтів у промптах? Чи покриває ваш договір про обробку даних те, як постачальник обробляє ці дані?
Саме тут часто виникають перші суттєві сюрпризи.
Якщо продукт використовує генерацію відповідей із пошуком у базі знань, ми перевіряємо цю базу. Дивимось, хто нею керує, як визначається область пошуку і чи існують контролі ізоляції.
Мета полягає в тому, щоб дані одного клієнта не з’являлися у відповідях іншого клієнта. Архітектура може виглядати коректною на рівні дизайну. Однак поведінка в продакшені часто виявляє додаткові ризики.
Логування і можливість подальшої перевірки часто є слабким місцем. Чи можете ви після події відтворити конкретне рішення? Чи можете побачити, який вхід отримала система, що вона повернула і які показники впевненості показала?
Також потрібно розуміти, що людина зробила з цим результатом. Вона прийняла його, змінила, відхилила чи скасувала?
Без цього ускладнюється і внутрішня перевірка, і регуляторний аудит.
Зловмисно сформовані промпти є реальним ризиком. Такі введення можуть намагатися змінити поведінку системи. Крім того, вони можуть впливати на інших користувачів або внутрішні дані.
Витік даних створює схоже питання. Чи може модель повернути інформацію, яку не повинна повертати? Це може стосуватися тренувальних даних, інших сесій або підключених баз даних.
Ми також перевіряємо людський нагляд. Чи існує змістовний етап перевірки перед тим, як важливий результат буде використаний? Чи має система резервний процес, якщо повертає результат із низькою впевненістю або перестає працювати?
Після запуску системи потрібно стежити за її поведінкою. Тому ми перевіряємо, чи є моніторинг падіння точності, неочікуваних патернів і змін у поведінці моделі.
Це оцінка, яку юридична команда не може провести самостійно. Юридичне тлумачення важливе, але спочатку потрібно зрозуміти, що насправді використовується.
Аудит систем штучного інтелекту не є оцінкою відповідності
Це важливо сказати прямо.
Аудит систем штучного інтелекту, який проводить Allmatics, не є формальною оцінкою відповідності. Він не завершується декларацією відповідності ЄС. Він також не надає офіційного сертифіката.
Це структурований процес оцінки готовності.
Ми допомагаємо компаніям замапити їхнє середовище штучного інтелекту. Далі визначаємо, які системи можуть належати до регульованих категорій. Після цього виявляємо документаційні й технічні прогалини та формуємо план їх усунення.
Результат — ясність. Компанія розуміє, що має, де є ризики і що потрібно побудувати або задокументувати до початку застосування формальних вимог.
Формальна оцінка відповідності, як визначено у статті 43 Регламенту, є окремим етапом.
Для більшості систем із Додатка III компанії можуть провести її внутрішньо. Це можливо після створення необхідної документації та процесів. Для окремих біометричних систем без застосування гармонізованих стандартів Акт вимагає залучення третього нотифікованого органу.
Allmatics допомагає компаніям дійти до стартової точки для цього процесу.
Остаточні юридичні рішення щодо класифікації мають ухвалюватися із залученням кваліфікованих правових фахівців. Ми працюємо поруч із цим процесом, а не замість нього.
Чому варто починати зараз, навіть якщо грудень 2027 року здається далеким
Продовжений строк для Додатка III дає більше часу, ніж очікувалося спочатку. Однак це не зменшує обсяг роботи.
Повна інвентаризація систем штучного інтелекту й аналіз прогалин займають тижні. Усунення прогалин займає місяці. Це може включати документацію, управління ризиками, логування та механізми людського нагляду.
Якщо потрібна оцінка нотифікованого органу, її потрібно планувати значно раніше за дедлайн. Сам процес оцінки відповідності має підготовчі вимоги, які багато компаній недооцінюють.
Дослідження Cloud Security Alliance показало важливу різницю. Компанії з уже наявними практиками управління ШІ швидше адаптуються до вимог Акта, ніж ті, хто починає з нуля.
Крім того, структура, яку вимагає регулювання, корисна і для щоденного управління системами. Вона включає документоване управління ризиками, контрольовані практики роботи з даними, реальний людський нагляд і постійний моніторинг.
Організації, які ставляться до цього лише як до формальної вимоги, зроблять мінімум. Натомість організації, які використають цей процес для розуміння власних систем, матимуть сильнішу позицію. Це залишиться актуальним навіть тоді, коли регулятор ніколи не постукає у двері.
Є і бізнесова сторона. Закупівельні команди великих підприємств у ЄС уже оцінюють підхід до управління ШІ.
Це відбувається через опитувальники, перевірки безпеки та розмови на рівні керівництва. Компанії, які швидше закривають такі угоди, можуть відповідати точно. Їм не потрібно казати: “ми працюємо над цим”.
Allmatics допомагає компаніям зрозуміти технічну, дану, продуктову й операційну готовність їхніх систем штучного інтелекту. Це включає початкову інвентаризацію систем, мапування ризиків, аналіз прогалин і планування їх усунення. Юридичне тлумачення обов’язків за Актом про штучний інтелект варто підтверджувати з кваліфікованими правовими фахівцями, коли це потрібно. Якщо ви хочете зрозуміти свою поточну позицію до того, як клієнти або регулятори почнуть ставити питання, зв’яжіться з нами.