2 августа 2026 года — не дата, когда малому бизнесу нужно внезапно стать юридическим департаментом. Но это дата, к которой использование ИИ в компании уже должно быть разобрано по полкам: какие инструменты вы применяете, где они влияют на людей, кто отвечает за результат и что вы говорите клиентам, сотрудникам и регулятору.
Важная поправка на 22 мая 2026 года: вокруг сроков для high-risk AI систем идет изменение графика через пакет Digital Omnibus. Совет ЕС сообщил о предварительном соглашении, по которому новые даты применения правил для high-risk систем могут сдвинуться на 2 декабря 2027 года для самостоятельных high-risk систем и на 2 августа 2028 года для high-risk систем, встроенных в регулируемые продукты. Это не отменяет работу по подготовке: прозрачность, базовая AI-грамотность, управление рисками и учет используемых систем все равно становятся операционной задачей уже сейчас.
Что такое EU AI Act без юридического тумана
EU AI Act — регламент ЕС об искусственном интеллекте. Он построен не вокруг размера компании, а вокруг риска конкретного AI-сценария. Один и тот же бизнес может одновременно использовать:
- минимально рискованный ИИ: например, внутренний помощник для черновиков писем;
- ИИ с обязанностями по прозрачности: чат-бот поддержки, который общается с клиентами;
- потенциально high-risk систему: инструмент, который помогает отбирать кандидатов, оценивать сотрудников, выдавать кредитный скоринг или принимать решения о доступе к важным услугам.
Для малого бизнеса это ключевой сдвиг. Вопрос не «используем ли мы ИИ?», а «в каком процессе ИИ участвует и может ли он повлиять на права, деньги, работу, образование, безопасность или доступ человека к услуге?».
Что реально происходит 2 августа 2026 года
У AI Act поэтапное применение. Часть запретов и требований уже вступила в силу раньше, часть касается поставщиков general-purpose AI моделей, а 2 августа 2026 года долго считалось главным рубежом для общей применимости многих положений, включая требования к прозрачности и high-risk системам из Annex III.
Но на дату подготовки материала график для high-risk систем находится в движении. Официальный AI Act Service Desk Еврокомиссии указывает на поэтапный rollout и отмечает предложение связать применение high-risk правил с доступностью поддерживающих инструментов: гармонизированных стандартов, общих спецификаций и руководств. Совет ЕС 7 мая 2026 года сообщил о предварительном соглашении по упрощению правил, где для high-risk систем называются более поздние даты.
Практический вывод: 2 августа 2026 года нельзя игнорировать, но формулировка «EU AI Act полностью применим с этой даты» слишком грубая. Для малого бизнеса правильнее думать так: к этой дате компания должна понимать свою AI-карту, прозрачность пользовательских сценариев и потенциальные high-risk зоны, а по high-risk срокам — следить за финальной редакцией изменений.
Кого это касается за пределами ЕС
AI Act важен не только для компаний, зарегистрированных в Евросоюзе. Если продукт, сервис или AI-система размещаются на рынке ЕС, используются в ЕС или их output применяется в ЕС, риск попадания под требования выше. Особенно если вы продаете SaaS европейским клиентам, нанимаете людей в ЕС, обслуживаете пользователей из ЕС или встраиваете AI-функции в B2B-продукт.
Это не значит, что любой лендинг с AI-виджетом автоматически получает тяжелые обязанности. Но если вы работаете с европейскими клиентами, EU AI Act должен быть в списке compliance-рисков рядом с GDPR, DSA/DMA для платформенных сценариев и отраслевыми правилами.
Быстрая классификация: где вы в зоне риска
Низкий риск: ИИ как внутренний инструмент
Сюда обычно попадают сценарии вроде подготовки черновиков, суммаризации встреч, генерации идей для маркетинга, перевода внутренних текстов, помощи в коде. Риск растет, если output автоматически уходит наружу или становится основанием для решения о человеке.
Что сделать: завести список инструментов, назначить владельца, описать допустимые данные, запретить загрузку чувствительной информации без правового основания и проверить договоры с поставщиками.
Прозрачность: пользователь должен понимать, что общается с ИИ
Если клиент взаимодействует с AI-чатботом, голосовым агентом или другим интерфейсом, который может восприниматься как человек, потребуется ясное раскрытие факта взаимодействия с ИИ. Для генеративного контента отдельное внимание — к синтетическому аудио, видео, изображению и тексту, особенно если материал может вводить в заблуждение.
Для малого бизнеса это не обязательно сложная юридическая конструкция. Часто достаточно аккуратного UX: понятная метка, объяснение роли ассистента, канал связи с человеком и логирование спорных случаев.
High-risk: когда ИИ влияет на судьбу человека
Наиболее чувствительные сценарии — HR, образование, кредитование, страхование, биометрия, критическая инфраструктура, миграция, правоохранительные и похожие области. Для малого бизнеса чаще всего встречаются три зоны:
- рекрутинг и оценка сотрудников;
- скоринг клиентов, антифрод и доступ к финансовым условиям;
- автоматизация клиентских решений в медицине, образовании, жилье, страховании или существенных услугах.
Если ИИ только помогает человеку искать информацию, риск один. Если он ранжирует кандидатов, отсекает заявки, выставляет баллы или рекомендует отказ — совсем другой.
Провайдер, deployer, импортер: почему роль важнее названия компании
AI Act разделяет участников цепочки. Малый бизнес часто думает: «Мы не разрабатываем модель, значит закон не про нас». Это опасное упрощение.
Если вы создаете AI-систему и выводите ее на рынок под своим именем, вы ближе к роли provider. Если покупаете или подключаете AI-инструмент и используете его в своем процессе, вы deployer. Если встраиваете чужую модель в собственный продукт, роль может усложниться: часть обязанностей останется у поставщика модели, часть появится у вас как у поставщика конечной системы.
Главный вопрос: кто контролирует назначение системы, правила использования, данные, интерфейс и решение, которое получает пользователь.
Минимальный план подготовки для малого бизнеса
1. Соберите реестр AI-сценариев
Не начинайте с политик на 40 страниц. Начните с таблицы. Для каждого инструмента запишите:
- название сервиса или модели;
- кто в компании использует;
- какие данные загружаются;
- какой output получается;
- влияет ли output на клиента, сотрудника или кандидата;
- есть ли человек, который проверяет результат;
- есть ли пользователи из ЕС;
- кто владелец процесса.
Эта таблица быстро покажет, где у вас обычная продуктивность, а где потенциальная регуляторная зона.
2. Отделите «совет» от «решения»
Фраза «ИИ только рекомендует» не спасает, если на практике рекомендация почти всегда принимается. Для рискованных процессов пропишите, где человек обязан проверить результат, какие критерии он использует и как можно оспорить решение.
Особенно внимательно проверьте HR: автоматическое ранжирование CV, анализ видеоинтервью, тесты личности, прогнозирование продуктивности и любые модели, которые могут отсечь человека до разговора с менеджером.
3. Проверьте прозрачность внешних интерфейсов
Если клиент разговаривает с ботом, он должен понимать, что это бот. Если вы публикуете синтетический контент, который выглядит реалистично, нужна маркировка или другой способ не вводить аудиторию в заблуждение. Если AI используется в поддержке, у клиента должен быть путь к человеку для чувствительных вопросов.
4. Пересмотрите договоры с поставщиками
У малого бизнеса редко есть ресурсы аудировать модель. Поэтому важны поставщики: документация, условия обработки данных, настройки retention, возможность отключить обучение на ваших данных, информация о безопасности, экспорт логов, описание ограничений системы.
Не покупайте «AI compliance» как магическую наклейку. Спрашивайте конкретно: какую роль берет поставщик, какие документы дает, как сообщает об изменениях модели, как поддерживает клиентов из ЕС.
5. Назначьте владельца AI-рисков
Это не обязательно отдельный юрист. В маленькой компании владельцем может быть COO, CTO, head of product или security lead. Важно, чтобы у человека были полномочия остановить внедрение, если сценарий затрагивает людей и выглядит рискованным.
Что делать SaaS-компаниям и AI-стартапам
Если вы не просто используете ИИ, а продаете AI-функцию клиентам, подготовка должна быть глубже. Нужны описание intended purpose, ограничения, инструкции для пользователей, оценка рисков, контроль качества данных, логирование, human oversight и процесс обновлений.
Особенно аккуратно с маркетингом. Не обещайте «compliant with EU AI Act», если у вас нет оснований. Лучше точнее: какие функции помогают клиенту выполнять обязанности, какие документы доступны, какие сценарии не поддерживаются.
Чего не стоит делать
Не ждите финального дедлайна, чтобы впервые открыть список AI-инструментов. Не переносите ответственность на ChatGPT, Claude, Gemini, Midjourney или другой сервис: использование в вашем бизнес-процессе остается вашим процессом. Не прячьте AI-чатбота под человеческим именем. Не используйте AI-скоринг людей без понятной проверки, объяснимости и процедуры оспаривания.
И главное: не превращайте compliance в театр. Регуляторный смысл AI Act — не в том, чтобы хранить PDF-политику в папке, а в том, чтобы знать, где автоматизация может навредить человеку, и управлять этим риском.
Короткий чек-лист на ближайшие недели
- Составить реестр всех AI-инструментов и AI-функций.
- Отметить сценарии с пользователями, сотрудниками, кандидатами и клиентами из ЕС.
- Проверить, есть ли AI в HR, скоринге, образовании, медицине, страховании, безопасности или доступе к важным услугам.
- Добавить раскрытие AI-интерфейсов для чатботов и голосовых агентов.
- Запретить загрузку чувствительных данных в непроверенные инструменты.
- Назначить владельца AI-рисков.
- Запросить у поставщиков документацию по данным, безопасности, ограничениям и изменениям моделей.
- Отслеживать финальную судьбу Digital Omnibus и обновленные guidance по high-risk системам.
Итог
Для малого бизнеса EU AI Act — не повод отказаться от ИИ. Это повод перестать использовать его вслепую. До 2 августа 2026 года нужно не «закрыть весь закон», а сделать базовую управляемость: знать свои AI-сценарии, отделить безопасные от чувствительных, честно маркировать AI-взаимодействие и заранее разобраться с процессами, где алгоритм влияет на человека.
Самая дорогая ошибка — обнаружить high-risk сценарий уже после того, как он стал частью продукта, HR-воронки или клиентского решения. Самый дешевый первый шаг — таблица с AI-инструментами и владельцами. Для малого бизнеса это скучная работа, но именно она отделяет нормальное внедрение ИИ от будущей аварии.
